Mandiant が支援するサイバー レジリエンスのテストと強化

※この投稿は米国時間 2025 年 12 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

導入しているセキュリティ プログラムは堅牢で、監査も問題なかったとしても、実際の攻撃に備えた準備は本当にできているのでしょうか？執拗なサイバー攻撃者は、セキュリティ リーダーの盲点を突いてくるかもしれませんし、セキュリティプログラムによってコンプライアンスを確保できていたとしても、レジリエンスがない場合があります。このギャップを埋めるには、単なる基本的なセキュリティ テストを行うだけでは不十分です。

セキュリティ チームが実際のサイバーリスク イベントに対応する際に役立つ感覚を養えるように、Google は ThreatSpace を開発しました。これは実際の従業員の業務活動によって生じるすべての通常トラフィック（ノイズ）が反映されたネットワークでありながらも、業務への影響がないよう構築されたサイバー演習場です。

ギャップから実戦へ: ThreatSpace サイバーレンジ

ThreatSpace 環境は、ステートレスで使い捨て可能なアーキテクチャを採用しているため、実際のマルウェアをデプロイでた実践的な演習が可能です。Google Threat Intelligence Group と Mandiant からの他では入手できない最新の脅威インテリジェンスに基づき、実際の攻撃者の戦術、技術、手順（TTP）をエミュレートします。実際のビジネス アセットはリスクにさらされない設計になっています。

最近では、米国大使館、FBI、コートジボワールのサイバーセキュリティ機関の関係者が ThreatSpace を使用して高度な防御トレーニングを実施しました。米国務省国際麻薬・法執行局（INL）の資金提供により開催されたこのワークショップには、地域内のデジタル セキュリティ強化を目指す、公共部門と民間部門のパートナーが参加しました。

「サイバーセキュリティはチームで対処するものであり、コートジボワールをコートジボワール人とアメリカ人がより安全にビジネスができる場所にすることが目標です。INL の資金提供によるこの 5 日間のワークショップでは、Mandiant の世界レベルのインストラクターと同国の公共機関および民間部門のパートナーが協力して、現代の脅威に対応するために必要な連携体制の基盤を構築しました」と、ダカールを拠点として、カーボベルデおよびギニア湾地域を担当する FBI 捜査官 Colin McGuire 氏は述べています。

個々人の能力向上を支援するだけでなく、Google は共通の脅威に直面している多様な防御者グループが一丸となって、グローバルなデジタル エコシステムの安全性を高められるようサポートしています。危機発生時に連携して、一体となって対応することにより、防御者は攻撃者に対抗でき、打ち勝てるようになります。

ThreatSpace を使用すると、安全な形でチームはセキュリティ侵害インジケーターを見逃して、プロセスを演習し、コラボレーションのストレステストを実施できます。これを通じて、実際の攻撃者から攻撃を受けたときに、スムーズに対策を実行するうえで必要となる、実践的かつ直感的な対応力と自信を培えます。ここで、オフェンシブ セキュリティのレッドチーム評価が役に立ちます。

捕まえられるものなら捕まえてごらん: Mandiant のレッドチームによる実態調査

Mandiant のレッドチームはスクリプトには従いません。インシデント対応の最前線にいる Mandiant は、テクノロジー、プロセス、人材の中の見つけにくいギャップを突いた、執拗かつ意外なアプローチなど、攻撃者の行動パターンを正確に把握しています。

このような観測結果をもとにして、Mandiant のオフェンシブ セキュリティの専門家は、実際の脅威アクターの行動を模倣およびエミュレートし、特定のビジネス目標を実現します。お客様の防御力をストレステストして強化するために、レッドチームが開発した 3 種類のシナリオをご紹介します。

1. 「起こり得ないはず」の停電。ある組織はグリッド制御は分離されており安全だと考えていました。Mandiant チームが現在のアーキテクチャでは全国的な停電が技術的には起こりうることを示してみせたところ、議論の焦点は単なるコンプライアンスの話しから組織の存続に関わる死活問題へと変化しました。この結果を受けて、同社はすぐにより厳格な制御を適用し、理論上発生しうる大惨事が現実のものとなる事態を回避できました。
2. 暴走列車。別の事例では、Mandiant は機関車のシステムをリモートで制御することに成功しました。クライアントは技術レポートを受け取っただけでなく、物理的な侵入経路とどのようにデジタル セキュリティを回避するかについて正確に理解できるようになりました。このようなリスクが明らかになったことを受け、同社はこれまで安全だと考えていたアクセスベクトルに対するオペレーション テクノロジーを強化しました。
3. 太っ腹な chatbot。イノベーションは新たなリスクをもたらします。最近行った金融サービスの chatbot のテストでは、Mandiant チームは簡単なプロンプトを使用して安全フィルタをバイパスし、最終的に AI に 200 か月間のローンを年利 0% で承認させることに成功しました。この結果を受けて、クライアントは重要なガードレールとグラウンディングのソースを直ちに実装したことにより、ビジネスが改ざんによる被害を受けることなく、安全にイノベーションを実現できるようになりました。

事後対応からレジリエンスへ

真のサイバー レジリエンスを構築するには、継続的なフィードバック ループが必要です。フィードバック ループはまず現状の分析から始まります。そのうえで運用上の優先事項に沿って整備すべき対応能力のロードマップを強化していきます。次に、インシデント対応からの学びとオフェンシブ セキュリティの分析情報をもとに検証を行い、次のサイクルに向けてフィードバックします。

脅威インテリジェンスを参考にしながらこのようなプロセスを組み合わせることで、事後対応型から事前対応型のレジリエンスへとシフトできます。今、弱点を見つけてそれを明らかにしておけば、組織の未来を守るために必要な強みを構築できます。

防御の実戦演習については、Mandiant にお問い合わせください。オフェンシブ セキュリティと ThreatSpace サイバーレンジ サービスが、防御の強化とレジリエンスの構築にどのように役に立つかをご説明します。

-Mandiant、プロダクト マーケティング マネージャー Ilan Lanz

-Mandiant Academy、ThreatSpace 責任者 Nadean Tanner