こんにちは。ニュートン・コンサルティング デジタル/サイバー事業部の廣田です。

お客様の役に立つソリューションを提供し続ける当社では、社員のコンサルティング能力を向上させるためのユニークな取り組みがあります。その一つが、毎年実施している「レッドチーム演習」です。

今回はその刺激的な演習の様子を、企画設計や当日の運営に携わった立場からご紹介します。この記事を通して、ニュートンで技術研鑽が活発に行われている雰囲気や、成長できる環境について少しでも知っていただけると嬉しいです。

レッドチーム演習とは？実践的なサイバー防災演習

「レッドチーム演習」とは、企業のセキュリティを強化する手法の一つです。「レッドチーム」が攻撃者の視点に立って自社のシステムやネットワークに実際に攻撃を試み、防御側である「ブルーチーム」の対応力と組織のセキュリティ状況を検証する非常に実践的な演習です。火災に備える「防災演習」のサイバー攻撃版、と考えると分かりやすいかもしれません。攻撃役の「レッドチーム」は、「どうすればシステムに侵入し、大きな影響を与えられるか」を考え、様々な手法で攻撃を実行します。一方、防御役の「ブルーチーム」は、どのような攻撃が行われているか分からない中で、会社の重要な情報資産を守るための対応を行います。

この演習の実施には、主に次の3つの大きな効果が期待できます。

１． 潜在的なセキュリティリスクの発見

机上の空論ではなく、実際に攻撃者の立場で侵入を試みることで、通常の診断では見過ごされがちなセキュリティ上の弱点（脆弱性）を発見できます。演習を通じて、想定外の侵入経路が見つかることも少なくありません。

2． 防御側（ブルーチーム）の実践的な能力評価と課題の明確化

ブルーチームは、この演習を通じて、侵入防御、攻撃検知、インシデント対応といった実践的なスキルが試されます。どこまで攻撃を防ぎ、適切に対応できたかを見ることで、チームの現状の能力と今後強化すべき課題を具体的に把握できます。

3．経営層への現状報告と適切な投資判断への貢献

演習の結果、「この対策は有効だったが、最終的には機密情報へのアクセスを許してしまった」といった具体的な状況を経営層に報告できます。これにより、経営層は自社のセキュリティ体制の実態を正確に把握し、より的確なセキュリティ投資の計画・判断に繋げることが可能になります。

ニュートン流 レッドチーム演習のこだわり

今回はレッドチームとブルーチームはそれぞれ3人ずつで構成しました。各チームは、演習の5カ月ほど前から対策と準備を進めて、これまで磨いてきた技術を存分に発揮すべく当日に臨みました。私はブルーチームの責任者と、当日の解説者を務めました。今回の演習設計においては、特に以下の3点に配慮しました。

１．通常業務への影響を抑える、安全な演習環境

実際の業務に支障が出ないよう、ブルーチームが構築したサーバーやネットワーク環境を「模擬的な社内システム」として使用することにしました。これにより、レッドチームは遠慮なく攻撃でき、ブルーチームはサーバー構築といったインフラの基礎知識も実践的に習得できました。

2．防御側の「検知能力」向上に特化したシナリオ

今回の演習では、ブルーチームは意図的に通信をブロックせず、レッドチームからの様々な攻撃を受け入れる形をとりました。これは、防御側が「攻撃をいかに早く正確に検知し、その痕跡や兆候を見つけ出すか」という観点に集中してスキルを磨くための工夫です。

3．楽しみながら真剣に取り組める雰囲気づくり

単なる演習で終わらせず、参加者が意欲的に取り組めるよう、ゲーム要素を取り入れました。具体的には、防御側が守るべきデータの中に、メンバーの（ちょっとした）秘蔵写真などを「お宝情報」として設定。「攻撃側が、この『お宝情報』までたどり着けるか？」という目標を立て、楽しみながら真剣に取り組めるようにしました。

また、検討の結果、次のような勝利条件を設定しました。

• レッドチーム：ブルーチーム側の特定のフォルダに保存してある、機密データを模した写真を取得できれば勝利
• ブルーチーム：ログや調査結果をもとに、いつのタイミングで、どのようにレッドチームに侵入されたかを明らかにできれば勝利

当日の様子：CISOの鬨（とき）の声で、いざ出陣！

「いざ、出陣じゃ！」

演習当日。オフィスのセミナーエリアに、当社のCISO（最高情報セキュリティ責任者）であり、プリンシパルコンサルタントでもある、内海の鬨（とき）の声が響き渡ります。この一言を合図に、3時間にわたるサイバー合戦の火蓋が切って落とされました。

会場では、攻撃側のレッドチームと防御側のブルーチームが、それぞれのチームカラーを示すビブスを着用。PCと向き合い、黙々とキーボードを叩く姿は真剣そのものですが、傍から見ればまるでeスポーツの大会のような雰囲気です。プロの技術者たちが、こうして本気で「対戦」に没頭するのも、ニュートンらしい光景です。

▲写真左が筆者。ブルーチームの責任者と、当日の解説者を務めました。

演習が白熱してくると、会場には他部署のメンバーたちも続々と「観戦」に訪れました。ERM・BCPのコンサルタントや、社内のシステムを守る情報システム部の面々など、様々な分野の社員がギャラリーとして集結。

さらに、各チームのリーダーが「今、レッドチームはこんな脆弱性を突いていますね」「おっとブルーチーム、このログに気づけるか！？」といったリアルタイム実況解説まで行う豪華仕様。これにより、参加者だけでなく、見学者も一体となって演習の醍醐味を味わうことができました。

▲ブルーチーム側のログ画面。レッドチームがシステムに侵入中！

また、対応にはホワイトボードを使いながら現状を整理します。これも実際の攻撃を受けたときそのものだったと思います。

レッドチームの巧みな攻撃と、ブルーチームの奮闘の末に。

さて、そんな熱気に包まれた3時間の激闘。その結果はどうだったのか。

レッドチームは、Webアプリケーションのわずかな隙間を見つけ出し、そこから巧みに侵入。遠隔操作プログラムを仕掛け、最終的には目標だった機密データ（お宝情報含む…！）を奪取することに成功しました。

▲レッドチームによって暴かれてしまった、ブルーチームのお宝情報！

もちろん、私たちブルーチームもただやられていたわけではありません。システムに残る膨大なログから不審な通信の痕跡を掴み、レッドチームの活動の一部を特定するところまで迫りました。

しかし、結果はレッドチームの勝利。この「敗戦」は、ブルーチームにとって最高の学びとなりました。自分たちが実際に攻撃を受ける立場を疑似体験したことで、「この対策は有効だった」「でも、攻撃者の思考はさらにその上をいっていた」「ここを強化すれば、もっと強固な守りが築ける」といった様々な気づきが得られたので、お客様のセキュリティ強化をご支援する際にも、よりリアルなご提案ができるようになりました。

あなたの力で、ニュートンの「最強の盾」をさらに強くしませんか？

 今回の演習には、入社1年目の若手メンバーも参加していました。最初は戸惑っていた彼らも、経験豊富な先輩たちのサポートを受けながらこの実践的な演習を乗り越え、驚くほどのスキルアップを遂げました。そんな姿を見て、「やる気と好奇心があれば、誰でも一線級になれる環境だ」と改めて感じました。

ニュートン・コンサルティングには、確かな技術力を持つ方が、その力を存分に発揮できるフィールドがあります。そして、経験が浅くても、“本気で成長したい人”を全力で育てるカルチャーがあります。

私たちの仕事は、日々進化する脅威に立ち向かい、お客様の未来を守ること。あなたの技術、知識、そして「もっと強くなりたい」という情熱で、私たちと一緒にお客様のための「最強の盾」を創り上げていきませんか？

少しでも興味を持っていただけたら、まずはカジュアルにお話ししましょう。