ウィリアム・「ハッチ」・ハッチソンは、アメリカ空軍のF-15戦闘機パイロットとして、「トップガン」などの映画で人気を博した、危険を伴う失敗まで訓練を続ける空中戦の訓練に従事した。コックピットを永久に退役した後、彼は空域での飛行中に学んだ戦闘訓練の原理をサイバースペースに応用し、国防総省のサイバーセキュリティITトレーニング、認証、テスト、評価プログラムを数多く作成・主導した(図A)。
図A
空軍退役後、ハチソン氏は米国サイバー軍で指導的役割を担い、初の合同部隊対抗戦術サイバー訓練演習「サイバー・フラッグ」を監督しました。彼は、初のサイバー敵対戦術室の立ち上げ、初のサイバーに特化した合同机上演習の実施、そして初のサイバーセキュリティチーム認定制度の確立に貢献したチームを編成しました。ハチソン氏と彼のチームは、MITリンカーン研究所とジョンズ・ホプキンス大学応用物理学研究所の協力を得て、国防総省向け初のテストシリーズも開発しました。
参照: スキル不足と製品統合の不備によりサイバーセキュリティの導入が阻害される (TechRepublic)
ハッチソン氏の次の動きは民間部門への転身で、2015年にサイバーコマンドチームのメンバーとサイバーレンジ企業SimSpaceを共同設立した。SimSpaceはデジタルツイン、ボット、その他の自動化、そしてもちろん人間のホワイトハットオペレーターの部隊も活用し、政府、軍隊、世界的なサイバー防衛、そしてエネルギー、保険、金融などの民間部門の産業向けに世界中でサイバーレンジを運営している。
同社は、24時間で3年間の予測不可能な実弾攻撃をシミュレートできるとしており、Google Mandiant、CrowdStrike、SentinelOne、Microsoftなど多数のセキュリティプラットフォームと提携している。
TechRepublic SimSpace CEO ウィリアム・ハッチソン氏とのQ&A
グラウンド:レッドチームの小競り合いをサイバースペースで
Q: SimSpace の展開範囲をどのように特徴づけますか?
A:私たちの仕事の大部分は、大企業、軍隊、そして政府機関とのものです。例えば、米国サイバーコマンド、FBI、そして米国政府内の他の組織とも連携しています。
最近の興味深い展開の一つは、日本へのグローバル展開です。日本では、DHS(国土安全保障省)やFBI(連邦捜査局)に相当する機関と連携しています。その結果、防衛省、銀行、通信、運輸省との連携が密接であり、地政学的状況から東欧からの強い影響力があることがわかりました(図B)。
図B
Q: サイバーセキュリティ人材が著しく不足していることは自明の理です。(ISC)² 2022年サイバーセキュリティ人材調査によると、約340万人の空席があることがわかります。サイバーレンジは、人材の育成と維持にどれほど重要ですか?
A:商業パートナーと協力する中で、単純な数だけでなく、資格を有するオペレーターの数にも大きな差があることに気づきました。資格を有するオペレーターの数は、さらに少数です。私にとって本当に衝撃的だったのは、米国の大手銀行が優秀な人材を厳選して採用しているにもかかわらず、彼らの多くが10年以上の経験を有しているにもかかわらず、サイバーセキュリティ演習を実施していないことです。サイバーセキュリティにおける白兵戦とでも言うべき演習です。
参照:2022年の最近のサイバー攻撃は2023年の不安定な状況を予感させる(TechRepublic)
これまでのトレーニングカリキュラムは、求められるニーズに合致していませんでした。そのため、私たちはチームレベルのパフォーマンス、組織のリスク、そしてセキュリティスタックのテスト方法に重点を置いたトレーニングを提供してきました。構造化された構築済みのトレーニング重視のコンテンツに数年を費やし、SIEMツールやエンドポイント保護など、チームが頼りにしているセキュリティツールを奪うといった対策を講じることで、チームにプレッシャーをかけています。なぜなら、本気の敵はこれらのツールを無効化するからです。そうなれば、チームにはプランBへと切り替える責任が課せられるのです。
Q: サイバーレンジを実施している企業はどのくらいあるとお考えですか?
A:まず、これほど複雑なシステムを構築できるのは私たちだけだと思います。他のサイバーレンジベンダーは、構造化されたカリキュラムをサポートするために仮想マシンを数台用意するなど、個人に焦点を当てていますが、セキュリティツールで本番環境を再現したり、本番環境と同じように時間をかけて設定したりすることはできません。
簡単に言えば、ネットワークの侵入テストやレッドチーム演習は多少あるかもしれませんが、万全を期すことはできません。なぜなら、訓練の過程で、運用上の懸念事項を引き起こすような型破りな試みによって、意図せず何かを壊してしまう可能性を懸念しなければならないからです。射撃場の便利な点は、それを安全に、オフラインで実行できることです。
デジタルツインを適用して、生産スペースから安全に運動を維持する
Q: SimSpaceにとって、デジタルツインの活用は大きな部分を占めています。サイバーレンジの文脈では、これは何を意味するのでしょうか?
A:私たちのデジタルツインは従来のデジタルツインとは少し異なり、その概念について少し混乱が生じています。エンドポイントやネットワークデバイスといったITコンポーネントは確かに存在しますが、私たちのプラットフォームの強みの一つは、トラフィックを単に再生するだけでなく、生成する機能です。各ホストにボットを配置し、それぞれにマネージャーや管理アシスタントのようなペルソナを与えることでトラフィックを生成します。
例えば、彼らはそれぞれ独自のウェブサーフィン行動を持ち、ExcelスプレッドシートやWord文書を作成し、それらをメールに添付して互いにやり取りします。日中の行動パターン、目的、戦術も異なります。こうしたトラフィックこそが、ネットワークの生命線であり、現実世界にも存在するものです。
敵対的なシグナルこそが、あらゆるノイズから識別しなければならないものです。ですから、デジタルツインについて語るとき、それは単にネットワークを仮想化するだけではありません。過去8年間、私たちは計画、実行、そしてレポート作成を加速させる要素の一部を自動化することに尽力してきました。
Q: サイバー セキュリティに取り組むということは、事実上、自転車に乗りながらタイヤにパッチを当てるようなものであるとすれば、サービスとしてのマルウェアの発達や、自動化などの新しい種類の脆弱性を考えると、悪意のある人物が利用できるツールに追いつくために、サイバー領域をどのように革新すればよいのでしょうか。
A:課題です。トレーニングの面では、攻撃者が変化しているだけでなく、それに対応するセキュリティ対応や基盤となるITインフラストラクチャも変化しており、ITセキュリティソリューションや攻撃者の脅威の提示方法も大きく変化する可能性があります。
こうした脅威すべてに、一社だけで対処することはできないと思います。訓練の現場で多様なソリューションを組み合わせる方法はあります。脅威への対応、例えば自動化された脅威フレームワークなどについては、専任チームを編成していますが、これは事後対応であることをまず申し上げておきます。私たちは、攻撃側と適切な修復手順の両方を示すものを1週間以内に公開しようと努めています。
Q: 存在すら知らない将来の脅威に対して、どのように備えますか?
A:当社のプラットフォームの使用例の 1 つであり、非常に優れた点の 1 つは、仮説テストを実行できることです。つまり、ネットワークの将来の状態をテストできるということです。
言い換えれば、範囲の利点の 1 つは、将来の状態のリスクがどのようなものになるかを理解し、適切な R&D 組織と連携して予想される脅威に先手を打つことができるという点で、積極的になれることです。
Q: サイバーレンジは、人材獲得プロセスの全体の中でどのような位置を占めるのでしょうか?
A:企業レベルの組織、そして政府機関においても、適切な IT セキュリティにはチームレベル、さらには複数のチームレベルの対応が必要であると認めるならば、厳密に人的側面における IT セキュリティ対応の準備の順序は次のようになります。
- 適切な候補者を特定します。
- 彼らを訓練してください。
- 彼らのパフォーマンスを認定し、チームに加わってもらいます。
- チームレベルでもまったく同じことを行います。つまり、チームをトレーニングし、認定または認証します。
- サイバーレンジで訓練します。
これはチームレベルで毎年継続的に行われるサイクルです。リーダーを派遣し、リフレッシュします。チームレベルのトレーニングと評価、そして個人とチーム双方でのミッションリハーサルも、私たちが責任を持って行います。個人と対応するチームにとって、継続的な改善サイクルです。
多才さを維持し、才能を維持する
Q: 脅威の状況、たとえば 5G 通信に関して、あなたの観点から、サイバー領域であれ、利用可能なその他の防御フレームワークであれ、重点的に取り組む必要があると思われる特別な領域はありますか。
A:常に新たな課題は発生します。直近では、従来のデータのクラウドへの移行が挙げられます。直近では、パンデミックの影響で、企業のネットワークの境界が従業員の自宅にまで拡大したため、IT環境は今後も進化し続けるでしょう。
サイバーセキュリティへの賢明なアプローチは、侵害が発生することを想定することです。私たちは、侵害の行動を可能な限り迅速に特定し、効果的な対応を取ることに取り組んでいます。
Q: サイバーレンジやチャレンジングなチームの活用が、実際に人材の維持にどのように役立つかについて、何かご意見はありますか?
A:チームが必ずしも挑戦を求めているとは限りません。人は自分の仕事がとても得意だと思っている傾向があります。
一つお話しましょう。1年目、大手銀行と仕事をしていた時、軍隊のようなやり方がうまくいくかどうか分からず、2週間の取り組みを行いました。最初の1週間、ブルーチームは満足していませんでした。そこで、レッドチームを舞台裏から呼び出し、ブルーチームと一緒に座らせました。ブルーチームがエクスプロイトの内容を理解すると、彼らにとって非常にネガティブでフラストレーションの溜まる経験から、非常にポジティブな経験へと変わり、多くの学びを得ることができました。
ですから、確かに、世の中には挑戦を待ち望み、自分たちの使命を愛するチームがいると思います。そして、挑戦的な準備活動を通して、採用における定着率を向上させ、優秀な人材を維持できると思います。率直に言って、これはリーダーシップ育成の素晴らしい試金石でもあります。
結論
サイバーレンジは一度きりの受講で終わりではなく、継続的なトレーニングです。生涯にわたる継続的なサイバーセキュリティトレーニングと認定資格をお探しなら、GSEC、CISSPなどのセルフペースコースに無制限にアクセスできるInfosec4TCをご検討ください。詳細はこちらをご覧ください。
