2025.07.25
脅威ベースのペネトレーションテスト「TLPT」の概要と事例
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、金融庁等が実施を推奨しているTLPT(Threat-Led Penetration Testing:脅威ベースのペネトレーションテスト)について解説します。
●TLPTの概要
TLPTとは、実際のサイバー攻撃の脅威に関する情報を収集・分析した結果(脅威インテリジェンス)を活用し、それを模した手法を駆使することで企業等のサイバーセキュリティ対策の有効性を総合的に評価する手法であり、金融庁が発行する「金融分野におけるサイバーセキュリティに関するガイドライン」等で対応が望ましい事項とされています。
実施方法によりますが、一般的な脆弱性診断とは異なり、サイバー攻撃への耐性だけでなく、その検知や対応力まで含めた組織の「サイバーレジリエンス」のレベルを評価することが可能となります。なお、サイバーレジリエンスについてはまた別な回で解説する予定です。
●TLPTの主な特徴
TLPTは画一的な手法で行うものではなく、実施する企業ごとに最新の脅威動向を踏まえて実施方法を検討し、個別にカスタマイズしたシナリオを用いて行うのが特徴であり、主なポイントとして次のようなものがあります。
1.本番環境での実施
TLPTは、現実世界で実際に起きているサイバー攻撃を動的にシミュレーションし、その侵害に対処するための攻撃対応能力を高めることに焦点を当てています。したがって、テストは本番環境で実施されます。
2.レッドチームが攻撃を実行
TLPTでは、レッドチームと呼ばれる攻撃を担当するチームが、脅威シナリオをベースに対象組織に攻撃を仕掛けます。レッドチームは本物の攻撃者さながらの攻撃技術を駆使して対象組織のネットワーク内に侵入し、潜伏し続けながら最終的な攻撃目的を達成するために活動します。
3.ブルーチームが攻撃の防御、検知、対応等を実施
TLPTでは、テストを受ける側の組織はブルーチームとして、レッドチームによるサイバー攻撃に対して現実のサイバー攻撃と同様に、防御、検知、対応等を実施します。ただし、金融庁等ではブルーチームに予告することなくTLPTを実施することを求めています。
TLPTによって一連の攻撃と防御をシミュレーションすることで、サイバー攻撃の各段階においてどのような攻撃を許してしまう可能性があるのか、現状のセキュリティ対策のどこに不備等があるのかを検証することができます。
4.実際のサイバー攻撃に基づいた脅威シナリオの作成
TLPTで用いる脅威シナリオは、レッドチームが収集・分析した脅威インテリジェンスをもとに作成されます。個々の企業や業界の特性等を踏まえ、現実に直面するおそれのあるサイバー攻撃について、攻撃者はどのような集団か、攻撃目的は何か、どのような技術や手法を使用するか等を分析し、リアルかつ具体的なシナリオを作成します。なお、金融庁からはMITRE ATT&CKやサイバーキルチェーン等のフレームワークを活用することが推奨されています。
※MITRE ATT&CKやサイバーキルチェーンについては以下の記事で解説しています。
https://cybersecurity-taisaku.metro.tokyo.lg.jp/know_more/cyberkillchain-mitreattck/
5.外部機関による実施
TLPTは、その客観性と信頼性を確保するため、外部のセキュリティ専門ベンダや機関等による実施が望ましいとされています。
6.実施結果の検証及び改善
テスト実施後は、レッドチームによるサイバー攻撃に対し、ブルーチームがどのような方法やタイミングで防御、検知、対応等できたのか、また、技術面の脆弱性のみならず、人・組織、プロセスにおいてどのような脆弱性や不備、課題等があったのかを検証し、今後の改善につなげていく必要があります。そのため、TLPTの実施目的や結果を企業の経営層が理解し、リスクマネジメントや投資判断に活かすことが求められます。 なお、TLPTにおいて、主に評価・調整・監督等を行う担当はホワイトチームと呼ばれます。
●TLPTの実施事例
次に、国内企業のTLPT実施事例を一つご紹介します。
こちらの会社(A社とします)では、外部のセキュリティベンダの協力のもと、下記のような方法でTLPTを実施しました。
・実施対象
社内情報系ネットワークに接続されているPC
・脅威シナリオ概要
標的型攻撃メールによるマルウェア感染による情報漏洩
<主なプロセス>
①標的型メール開封によるマルウェア感染
②情報窃取
③外部への情報漏洩
・攻撃プロセスとA社TLPTでの実施内容
A社では攻撃のプロセスを次のように6段階で検討しましたが、全てのプロセスを実施するのは時間やコスト等の制約から難しい状況であったため、No.1の事前調査プロセスは省略し、太枠線内のNo.2以降のプロセスを実施しました。また、No.3以降のプロセスについては、前のプロセスの成否によらず実施する等、限られた期間で一定の成果が得られるように工夫をしています。
No | 攻撃プロセス | 実際の攻撃の例 | A社 TLPT での実施内容 |
---|---|---|---|
1 | 事前調査 | 実際に流出している情報や入手可能な範囲で対象となる組織のアドレス等を事前調査する。 | 今回は実施せず、事前に必要な情報を入手する。 |
2 | 攻撃 (初期感染) |
No.1 の結果に基づき、下記のプロセスで初期感染を試みる。
① 攻撃メールを送る ② 攻撃メール/ファイルを開かせる ③ マルウェアをダウンロード/実行させる |
No.1 の情報に基づき、下記のプロセスにより初期感染が可能かどうかを確認する。 ① 疑似攻撃メールを送付/受信 ② 疑似攻撃メール/ファイルを開く ③ 疑似マルウェアのダウンロード/実行 |
3 | 端末乗っ取り | No.2 に成功した場合、マルウェアが C&C(Command and Control)サーバと通信しつつ、初期感染した端末の設定情報収集や攻撃ツールを追加導入し、遠隔操作を試みる。 |
No.2 の成否によらず、No.3〜5 を実施する。 ① 非調査用 PC の設定情報等の収集・遠隔操作 ② ネットワーク内の脆弱性などの調査・探索 ③ 情報の取得 |
4 | ネットワーク内調査 | No.3 に成功した場合、当該端末を攻撃拠点とし、ネットワーク構成や攻撃利用できる脆弱性などのネットワーク内の調査を行う。 | |
5 | 侵入拡大 | No.4 で取得した情報を基に、遠隔操作により、侵入拡大や目的とする情報の取得を試みる。 | |
6 | 情報漏えい | No.5で取得した情報を外部に転送する。 | No.3~5の成否によらず、実施する。
①外部サイトへPC上のファイル転送可否を確認 |
●参考情報
金融分野におけるサイバーセキュリティに関するガイドライン
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf
金融庁におけるサイバーセキュリティに関する取組状況
https://www.nisc.go.jp/pdf/council/cs/ciip/dai38/38shiryou0301.pdf
諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書
https://www.fsa.go.jp/common/about/research/20180516/TLPT.pdf