TLPT(Threat-Led Penetration Test)とは

TLPT(Threat-Led Penetration Test)とは、自社のサイバーセキュリティ対策が有効に機能するかを評価する手法で、「脅威ベースのペネトレーションテスト」と訳される。

2017年11月に金融庁より公表された「金融行政方針」において、TLPTは「テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト」と定義されている。

従来から活用される脆弱性を検証するテスト手法には、ペネトレーションテストや脆弱性スキャンなどの手法があるが、TLPTはこれらと大きく異なる性質を備える。

すなわち、テスターが脅威インテリジェンスを活用し、現実世界で実際に起きているサイバー攻撃と同じ視点、手法でセキュリティ対策を評価し、防御側が防御、検知、対応を行い、対応能力の改善に役立てていく。

海外では、英国中央銀行や香港金融管理局などの金融当局を中心に実施を求めており、国内でも金融庁が「脅威ベースのペネトレーションテスト(TLPT)に関する報告書」を公表し、金融機関に対して活用を推奨している。

同報告書などによると、TLPTが比較的普及する米国や英国では、次のような特徴がある。

・テストでは原則として実機を用い、本番環境で実施される。また、インシデント検知や事後対応の検証を行うため、CSIRTやSOCに対しても非通知で行われる。
・レッドチームと呼ばれる攻撃側が、脅威シナリオをベースに対象組織に攻撃を仕掛ける。これにより、ブルーチームと呼ばれる防御側の「物理」「人」「ネットワーク」のすべてのセキュリティ対策を評価する。
・テスト実施後は、攻撃側の様々なサイバー攻撃に対して防御側がどのような方法やタイミングで防御、検知、対応できたのか、人・組織、プロセスにどのような脆弱性、課題があったのかを検証し、今後の改善につなげていく。

2020年に向かって、サイバーセキュリティの脅威は高まっている。特に、金融分野におけるサイバーセキュリティ対策は急務の課題だ。

そこで、TLPTのような現実的な脅威シナリオを踏まえた効果的な評価手法を活用し、技術的な対策だけではなく、人・組織、プロセス面も含めたサイバー攻撃対策を向上させることが重要だ。