自分たちの組織が侵入される可能性があるかどうかを把握するために、レッドチーム演習の実施依頼を受けることがよくあります。

しかし、侵害される可能性はどの組織にもあることを考えると、わざわざレッドチームに高いお金をかけてまでそれを証明する必要はないかもしれません。

「その通りですが…」とお客様は言うかもしれません。「そして、私たちが実際に知りたいことは、攻撃者がどのようにして私たちを侵害してくるかなのです。」

「一理あります」それでもレッドチーム演習の実施は必要ありません。レッドチーム演習は常に一番抵抗の小さい経路を辿り、事前に決められたポイントに到達すると演習を止めます。そのため、レッドチーム演習から必要な情報のすべてを得ることはできません。もし実施するのでれば、むしろパープルチームの方がよいかもしれません。

このとき、ちょっとした混乱が生じることがあります。なんだかんだ言っても、私たちはサイバーセキュリティ企業として、お客様にレッドチーム演習の実施を売り込むべきなのではないかと。答えは「ノー」です。私たちはお客様に必要性のないことにお金を使って欲しいとは思っていません。私たちは誠実に議論し、お客様の課題解決に役立つサービスのみを提供したいと思っています。

私たちがレッドチームサービス提供を検討する際に注目しているポイントをご紹介します。

ストレステストを実施したいあなたへ

もしあなたが自分の体力を見極めたいのなら、経験豊富なプレイヤーとスカッシュをしてみることです。この場合、勝つことではなく相手のペースについて行こうとすることが重要です。

組織内のブルーチーム（防御）の準備ができたと思うならば、一般的なストレステストとしてレッドチームを活用するのもよいアイデアかもしれません。しかし、ブルーチームがまだ能力不足であると自覚している場合は、慎重にことを進めるべきです。

レッドチーム演習は、あなたが実施する最初のテストではありません 

私たちは通常は、レッドチーム演習の検討をする前に、組織のシステムやネットワークへのペネトレーションテストの実施をお勧めしています。また、すでに導入しているセキュリティ対策ツールを含めて、検知と対応についての戦略の確認が必要な場合もあります。

適切な脅威モデルを構築している

組織にとって最も価値が価値のあるアセットが何かを把握し、組織のタイプや業界を考慮に入れながら、遭遇する恐れがある脅威を想定すべきです。

潤沢な予算

レッドチーム演習には、かなりの予算が必要です。なぜなら演習を徹底するにはコンサルティングに十分な時間（たいていの場合、60日以上）をかける必要があるだけでなく、レッドチームへの支払いのために予算を使うのであれば、同じお金でもっと価値あるものを導入できると思われるからです。例えば、サイバーセキュリティに予算を割こうとしている小規模な組織の場合、検知と対応のマネージドサービスが未導入であれば、その予算で年間契約をした方が有益な可能性があります。

セキュリティ対策の準備ができていること、またはセキュリティへの投資を増やす必要性を周囲に納得させる

経験豊富な規制当局者やCISO（最高情報セキュリティ責任者）は、レッドチームが常に組織の防御を突破することを知っています。ブルーチームの強さを知りたいとき、彼らは検知率の高さを調べます。

レッドチーム演習は、ブルーチームの能力を一義的にテストするものであり、例えばパープルチームを用いるよりもはるかに明確な結果が出るため、さまざまなステークホルダーに組織が「準備万端」であることを証明するには有用かもしれません。

ただし、レッドチーム演習で組織が安全ではないという結果が出たことを利用して、セキュリティサービスやリソースへの投資が増えるかもしれないと期待してレッドチーム演習を実施することは、よりリスクのある行動となる可能性があります。納得させるべき人は、取締役会のテーブルに座っているだけとは限らず、自分たちが本当に堅牢なものを作り上げたと確信している社内開発チームや自信満々のクラウドアーキテクトのグループかもしれないのです。

あがり症の克服

もしあなたが新任のSOCアナリストで、あちこちにディスプレイが設置された部屋の中で、多くの人に囲まれてれて座っているとしましょう。そこに突然、組織が攻撃を受けているというアラートが届きます。

このような状況に置かれた新任のSOCアナリストは、完全に舞い上がってしまう恐れがあります。数年の教育を受け、SＯＣアナリストとして突如の攻撃を阻止するのがあなたの仕事なのです。下手を打てば、仕事を失うかもしれない。システムがクラッシュして、室内にいる他の皆はパニック状態です。

レッドチーム演習は、これらのSOCアナリストにリハーサルをさせる1つの方法です。リアルな環境（実際は舞台裏でコントロールされていますが）で対応を練習することは、実際に燃えている建物の中で実施される消防士の訓練に似ています。

そして、本物の火事が発生しても、アナリストは怖気づくことなく対応できるようになります。

誰もがレッドチーム演習をしたがりますが、それを本当に必要としている組織はごく少数です。ウィズセキュアの営業チームメンバーによると、レッドチームに関するお客様からの問い合わせの半分以上は、お客様からニーズの説明を受けた後、最終的により効果的な（かつコストの低い）他の方法に関する議論へと方向転換するそうです。

なぜならレッドチーム演習は、一部の文脈では価値があるものの、誰にでも合うわけではないからです。レッドチーム演習の本当のメリットは、攻撃者が組織を侵害する可能性があるか否かやその方法を知るためのものではなく、組織の防御、検知、対応能力を評価、向上させ、ブルーチームが今後より効果的に動けるように訓練するためのものであることを覚えておいてください。

レッドチーム演習のほか、パープルチーム演習および標的型攻撃シミュレーションといった他のソリューションの詳細については、ウィズセキュアのサイトをご覧になるか、直接お問い合わせください。