シミュレーションのタイプ
シミュレーションには主に 3 つのタイプがあります。
-
机上演習 – 机上でのシミュレーションは、インシデントに対応するさまざまな利害関係者が参加して役割や責任を実践し、確立されたコミュニケーションツールやプレイブックを活用する、完全にディスカッションベースのセッションです。演習は、通常はバーチャル会場、実際の施設、またはそれらの組み合わせが可能で、丸 1 日かけて進行します。ディスカッションベースのため、机上演習ではプロセス、人材、コラボレーションに焦点を当てます。テクノロジーは議論に不可欠ですが、インシデント対応ツールやスクリプトを実際に使用することは、一般的に机上演習には含まれません。
-
パープルチーム演習 – パープルチーム演習は、インシデント対応者 (ブルーチーム) と模擬の脅威アクター (レッドチーム) のコラボレーションレベルを高めるものです。ブルーチームはセキュリティオペレーションセンター (SOC) のメンバーで構成されますが、実際のサイバーイベントに関与する他の利害関係者が参加することもあります。レッドチームは通常、攻撃的なセキュリティのトレーニングを受けたペンテストチームまたは主な利害関係者で構成されています。レッドチームは、シナリオが正確で実現可能なものになるように、演習のファシリテーターと協力して作業します。パープルチーム演習では、インシデント対応の取り組みを支援する検出メカニズム、ツール、標準運用手順 (SOP) に重点が置かれます。
-
レッドチーム演習 – レッドチーム演習では、攻撃側 (レッドチーム) は、あらかじめ決められた範囲から、ある目的または一連の目的を達成するためのシミュレーションを行います。防御側 (ブルーチーム) は、演習の範囲と期間について必ずしも知っているとは限らないため、実際のインシデントにどのように対応するか、より現実的に評価できます。レッドチーム演習では侵入テストになる可能性があります。そのため慎重に行い、コントロールを実施して、演習によって環境に実害を与えないことを確認してください。
注記
AWS では、お客様は、パープルチーム演習またはレッドチーム演習を行う前に、ペネトレーションテストのウェブサイト
表 1 は、これらのタイプのシミュレーションの主な違いをまとめたものです。定義は一般に緩やかな定義と見なされ、組織のニーズに合わせてカスタマイズできることに注意してください。
表 1 – シミュレーションのタイプ
| 机上演習 | パープルチーム演習 | レッドチーム演習 | |
|---|---|---|---|
| まとめ | 1 つの特定のセキュリティインシデントシナリオに焦点を当てた、紙ベースの演習。概要または技術的な内容とすることができ、紙の資料を使用して実行されます。 | 机上演習と比較してより現実的なタイプです。パープルチーム演習の間、ファシリテーターは参加者と協力して演習のエンゲージメントを高め、必要に応じてトレーニングを提供します。 | 一般的に、より高度なタイプのシミュレーションです。通常は隠密性が高く、参加者が演習のすべての詳細を把握しない場合があります。 |
| 必要なリソース | 必要な技術リソースは限定的 | さまざまなステークホルダーが必要、高度な技術リソースが必要 | さまざまなステークホルダーが必要、高度な技術リソースが必要 |
| 複雑さ | 低 | Medium | 高 |
定期的にサイバーシミュレーションを実施することを検討してください。演習は、タイプごとにそれぞれのメリットを参加者と組織全体にもたらします。それほど複雑ではないタイプのシミュレーション (机上演習など) から始めて、より複雑なシミュレーションタイプ (レッドチーム演習) に進むこともできます。セキュリティの成熟度、リソース、目標とする成果に基づいてシミュレーションタイプを選択する必要があります。お客様によっては、複雑さやコスト面から、レッドチーム演習を選択しない場合があります。
