レッドチーム演習／脅威ベースのペネトレーションテスト（TLPT）

サイバー攻撃は増加傾向にあり、攻撃手法も高度化が進み、企業を取り巻く外部環境は目まぐるしく変化しています。その一方で、ネットワーク構成や利用形態などの内部環境の変化にセキュリティ対策が追随していないケースも多く見受けられます。このような状況下で、企業においてはセキュリティ対策とインシデント対応態勢の実効性の検証が急務となっています。

攻撃側と防御側に分かれ、攻撃側は対象となるシステム・ネットワークに対して擬似的な攻撃を加え目標の遂行を試みる一方、防御側はその攻撃を検知し対処することでインシデント対応能力を向上させるサイバー演習の一種です。
擬似的な攻撃を仕掛けることで、既存のセキュリティ対策が有効に機能しているかを検証でき、これにより対策の不足や設定の不備等を洗い出すことが可能です。さらに、擬似的な攻撃を仕掛けた際に発生するアラートや記録されるログをもとに、適切に対処できるかを検証することで、対応手順の不備や抜け漏れ等を明らかにします。

金融庁は、2018年10月の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」改訂において、「実践的な侵入テスト（TLPT: Threat-Led Penetration Test）の実施」を大手金融機関に対して施策として推進していくことを公表しました。
「脅威ベースのペネトレーションテスト」または「TLPT」という単語は主に金融業界で用いられています。「金融行政方針」（2017年11月）では、TLPTを「テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト」と説明しており、レッドチーム演習と同義と捉えられています。

レッドチーム演習／脅威ベースのペネトレーションテストでは、攻撃者のプロフィールを仮定したうえで攻撃シナリオを策定し、想定するネットワークや防御策に照らした攻撃手法を用意して、疑似サイバー攻撃を実施します。攻撃に対する監視およびインシデント対応の評価も行います。

KPMGのグローバルネットワークには多くのレッドチーム演習／脅威ベースのペネトレーションテストの実績があります。CREST※認定を受けたプロフェッショナルテスターを擁し、専門的見地からテストや助言を行います。日本企業に対しては、海外のKPMGのプロフェッショナルテスターと、国内のKPMGのプロフェッショナルが連携してサービスを提供します。

※ CREST （Council for Registered Ethical Security Testers）
高度なペネトレーションテスト等のプロフェッショナルサービスを提供するスキルレベルを認定する英国政府認可の非営利団体です。英国の金融監督機関が金融機関に対して実施するサイバーセキュリティ耐性テストの実施にはCREST認定された要員の参画が求められています。