みなさん、こんにちは。Noriaki Hayashiです。
唐突ですが、Blue Teamに所属するオールラウンドなディフェンダーは「かっこいい」。
現代のビジネスにおいて、レベルの違いはあるものの、サイバーセキュリティを無関係と捉えている人はいません。ディフェンスはビジネスにおいて収益とブランド価値を守るために不可欠な備えです。
ですが、さざまなサイバー防御ツールから収集したデータを分析し、その分析結果から悪意のある通信(攻撃)等を見つけ出し、解決に向けた支援を行うサイバーセキュリティ人材は常に不足気味です。
有事を経験し、知識・技能を習得する方法論では市場の要求に応えることができません。
そこで本稿では、平時においても実践的な経験を積むことができる「Blue Team Labs Online」(以下、BTLO)について紹介します。
あなたもBTLOを活用して、デジタルヒーローの頂点、Guardian(ガーディアン)に挑んでみませんか。
合い言葉は、“Stay Vigilant!“(ステイ・ビジラント, 警戒を怠るな!)
Blue Teamってなんですか?
Blue Teamとは、組織のネットワークやシステムに関する防御側(ディフェンダー)からなるサイバーセキュリティの専⾨家チームです。主な役割を紹介します。
- セキュリティ監視: ネットワークやシステムを常時監視し、不審な活動を検知します
- インシデント対応: サイバー攻撃が発⽣した際に、被害を最⼩限に抑えるための対応を⾏います
- 脆弱性管理: システムの弱点を特定し、修正します
- セキュリティ教育: 組織内のメンバーにセキュリティ意識を⾼めるトレーニングを実施します
なぜ、Blueと呼ばれるのでしょうか。
実はBlueという⾔葉と対でRedという呼び名もあります。
- Blue Teamは「防御」を表します。組織のセキュリティを守る役割を担当し、 セキュリティインフラの構築、ポリシーの策定、侵⼊検知と対応などを⾏います
- Red Teamは「攻撃」を表します。実際の攻撃者の⼿法を模倣し、組織のシステムやネットワークの脆弱性を探ります
BlueとRedという⾊の使⽤は、軍事演習における味⽅(Blue)と敵(Red) の区別に由来しています。サイバーセキュリティの⽂脈でも同様の役割分担で表現されています。
2 つのチームは、組織のセキュリティを強化するために協働します。Red Teamが攻撃を仕掛け、Blue Teamがそれを防御するという形で、実際の脅威に対する組織 の準備状態を評価し改善していきます。
Blue Teamに所属するディフェンダーは会社や学校、政府など、様々な場所で働いています。⼩さな会社では、⼀⼈で多くの仕事をこなすことも多いです。⼤きな会社では、チームで協⼒して仕事に取り組んでいる場合もあります。
インターネットが私たちの⽣活に⽋かせなくなった今、Blue Teamに所属するディフェンダーの仕事はとても⼤切です。それは、デジタルの世界を安全に保つヒーローのような存在なのです。
Blue Team Labs Online, BTLOとは?
概要
「Blue Team Labs Online, BTLO」(https://blueteamlabs.online/)とは、英国を拠点とするトレーニングプロバイダー Security Blue Team社が提供しているサイバー防御に特化したゲーミフィケーション要素のある学習プラットフォームです。
サイバーセキュリティ領域では、先行する学習プラットフォームとしてクラウド上にターゲットマシンを用意しているHackTheBoxや、TryHackMeがあります。先行する学習プラットフォームが攻撃型(Red Team)を対象としているのに対し、BTLOは防御型(Blue Team)を対象としているのが大きな違いです。
クラウドファンディングサービス「Indiegogo」にて、101 Backersから288万円の資金調達に成功し、2020年12月より、そのサービスを開始しています。
なぜ、BTLOなのか
BTLOを使うメリット
本番環境へ影響を与えずに、模擬することができる
サイバーセキュリティの演習は、本番環境(production environment)で実施することでしか得られない経験があります。組織特有のシステム構成やビジネスプロセスに関連するセキュリティリスクの洗い出し、監視システムの不具合や設定ミス、緊張下のなかでの適切な判断力と対応力の強化などは、シミュレーション環境で完全に再現することは困難です。
とはいえ、本番環境でサイバーセキュリティ演習を実施した場合、稼働中のサービスに対する影響は回避しがたいです。また、最低限のスキルに達していないようなエンジニアに本番環境を触らせるわけにはいきません。
そこで、仮想化されたトレーニング環境で安全かつ効果的にスキルを向上させることが重要です。その学習環境がBTLOです。
段階的なスキルレベルに対応
BTLOでは、初心者から中級者・上級者まで対応できるよう、段階的な難易度が設定された課題が提供されています。また、インシデント対応やデジタル・フォレンジックなど、広範囲で具体的なタスクが設定されているため、オールラウンドなディフェンダーを目指すことが可能です。
シナリオベースの教育コンテンツ
BTLOでは、実際の脅威アクターや攻撃手法を模倣したシナリオが用意されています。これにより、現実的な対応力を養うことが期待できます。
何を学ぶことができるのか
BTLOにログインすると表示される[Home]画面です。ここから学習の進捗を一覧することができます。
提供されている課題の詳細
カテゴリ
BTLOでは、次の8つのカテゴリ(Categories)に関する課題が提供されています。
得意のジャンルにこだわって挑戦し続けるもよし、バランス良くこなして苦手を克服するなど、自分にあった学習計画を立てることが可能です。
| カテゴリ | 詳細 |
| Incident Response | 現実のインシデントをシミュレートするようなシナリオの提供 |
| Digital Forensics | デジタル機器に保存されている情報の収集・分析に関するシナリオの提供 |
| Security Operations | 日々のセキュリティ運用、SOC(Security Operation Center)業務を反映したシナリオの提供 |
| Reverse Engineering | アプリケーションのリバースエンジニアリングを行い、その構造を明らかにすることを目的としたシナリオの提供 |
| CTF-Like Challenges | Capture The Flag(CTF)競技のようなシナリオの提供。問題解決スキルが問われています。 |
| OSINT (Open-Source Intelligence) | 公開情報からインテリジェンスの収集を行う業務を反映したシナリオの提供 |
| Threat Hunting | 現実の脅威状況をシミュレートするようなシナリオの提供 |
| Threat Intelligence | 脅威分析と情報収集に焦点を当て、サイバーセキュリティ脅威の戦略的理解を促すようなシナリオの提供 |
難易度
それぞれの課題には難易度(Difficulties)が設定されています。これにより、標準的な攻略までに必要な時間について把握することができます。
- Easy: 初心者向け、ツールになれていれば1時間程度で攻略可能。
- Medium: 日常的に防御業務に携わっている人向け、数時間をかけて攻略可能。
- Hard: 経験豊富な上級プレイヤー向け、数時間にわたる難解な問題解決を経て攻略可能。
Challenges と Investigations
BTLOでは、Challenge または Investigations と呼ばれる2種類の課題が提供されています。短時間で楽しみたいのであれば「Challenge」。まとまった時間を確保できるのであれば「Investigations」と理解しておくのがよさそうです。
Challenges
Challenge では、BTLOから出題されるシナリオ(Scenario)に沿った、パケットキャプチャ、メモリダンプ、ログ出力などの調査対象となるファイルのダウンロードリンクが提供されています。リンクからファイルをダウンロードし、その対象を分析することで攻撃の痕跡について調査を行います。
調査すべき内容は「Challenge Submission」として、Challenge 中に複数の質問項目が示され、順に回答していくとシナリオの確信に迫ることができるように構成されています。闇雲に調査対象のファイルを調べるのでは無く、示されたガイドに従って順を追って調べればよいので、初心者にとっても取り組みやすい構成となっています。
なお、ダウンロードファイルは、パスワード保護されたZIP形式ファイルとして提供されています。Challenge によっては、実際のマルウェアを含む危険なファイルのダウンロードが必要な場合もあります。このようなファイルについては、意図せぬ実行などを防ぐべく、細心の注意を払う必要があります。
この場合、[Download File]リンクをクリックして得られるZIP形式ファイルは、パスワード「btlo」にて保護されています。そしてパスワードを入力し展開されるSample.zipファイルはパスワード「infected」にて二重の保護がなされています。
7-zip(p7zip, 7za)はv5.1フォーマット展開にも対応しています。
Kali Linuxの場合、7-zipツールは標準搭載されています。
macOSの場合、brewコマンドにて導入することが可能です。
# ZIP v5.1フォーマットのBTLO.zipファイルをunzipで展開し失敗
$ unzip BTLO.zip
Archive: BTLO.zip
skipping: info.txt need PK compat. v5.1 (can do v4.5)# brewコマンドにてp7zipをインストール
$ brew install p7zip# ZIP v5.1フォーマットのBTLO.zipファイルをp7zip(7za)で展開し成功
$ 7za e BTLO.zip
7-Zip (a) [64] 17.05 : Copyright (c) 1999-2021 Igor Pavlov : 2017-08-28
p7zip Version 17.05 (locale=utf8,Utf16=on,HugeFiles=on,64 bits,12 CPUs LE)
Scanning the drive for archives:
1 file, 458 bytes (1 KiB)
Extracting archive: BTLO.zip
--
Path = BTLO.zip
Type = zip
Physical Size = 458
Enter password (will not be echoed):
Everything is Ok
Size: 313
Compressed: 458
Warning! 表記された場合には、実運用している端末での調査は避けるべきですね。
VMwareやOracle VM VirtualBox、UTMなどの仮想化ソフトウェア上に用意したゲストOS(Kali Linux など)で調査すれば、もしものときにすぐに元に戻すことができて安心ですね。
Investigations
Investigationでは、BTLOから出題されるシナリオ(Scenario)に沿った、ブラウザーベースの仮想環境(Amazon EC2 Windows インスタンス)が提供されています。この仮想環境上に調査対象や、調査に必要なツールのすべてが用意されています。これらを駆使して攻撃の痕跡について調査を行います。
調査すべき内容は「Investigation Submission」として、Investigation 中に複数の質問項目が示され、順に回答していくとシナリオの確信に迫ることができるように構成されています。この流れはInvestigation、Challengeともに同じです。
[Details]ボタンをクリックすると、仮想環境の詳細(ユーザー名、パスワード、IPアドレス)やシナリオが画面の右側ペインに表示されます。
また、[Questions]ボタンをクリックすると、「Investigation Submission」の内容が画面の右側ペインに表示されます。仮想環境を表示させたまま、調査すべき内容が表示され便利です。
注意点として、仮想環境とホストOS間におけるデータ共有の制限があります。共有できるのはクリップボード経由のテキストデータ 100文字のみです。100文字を超えるデータに関しては切り落としされます。したがって、ログファイルを一括でホストOS側にコピーして調べるといった使い方はできません。また、画像などのバイナリデータは共有できません。
この制限の中で、与えられたツールのみを使って調査していく必要があります。
学習を継続できる仕掛け
ゲーミフィケーション要素
ゲーミフィケーションとは、ゲームの要素や思考法をゲーム以外の領域に応用して、楽しさを作り出す手法です。BTLOにもそんな仕掛けがいくつか組み込まれています。
ポイント
Challenge や Investigations を攻略(Competed)すると、難易度に応じたポイントが付与されます。
ランク
Initiate からはじまり、Guardian まで。合計8つの称号があります。
| ランク順位 | 称号 | 日本語 |
| 1 | Initiate | 入門生 |
| 2 | Trainee Defender | 研修生 ディフェンダー |
| 3 | Junior Defender | ジュニア ディフェンダー |
| 4 | Defender | ディフェンダー |
| 5 | Senior Defender | シニア ディフェンダー |
| 6 | Advanced Defender | アドバンス ディフェンダー |
| 7 | Principal Defender | プリンシパル ディフェンダー |
| 8 | Guardian | ガーディアン |
さあ、はじめてみましょう
アカウント作成 – Sign Up
BTLOを開始するには、まず無料のアカウント登録が必要です。サイトへアクセスし、[REGISTER FOR FREE]ボタンをクリックします。
希望する表示名、メールアドレス、所属国、パスワード、どこでこのサービスを知ったのかアンケートなどに回答し、「利用規約(Terms of Service)」ならびに「プライバシーポリシー(Privacy Policy)」の内容を確認してください。同意できる場合には、チェックボックスをONにして[REGISTER]ボタンをクリックして登録します。
行動心理学で習慣化
オンライン学習における最大の難関は、継続すること。
モチベーションが途絶えたり、生活リズムが合わずに学びが途絶えてしまうことはよくあることです。
習慣化を達成するには「インキュベートの法則(21日間)」、「フィリッパ・ラリー博士提唱(66日間)」など、まずは一定日数を続けてみるということがあげられます。
BTLOの場合、毎日ログインしつづければ日数がカウントされ、一定日数達成するとバッジが付与されます。
ただ、ログインすればOK。この敷居の低さが継続につながります。せっかくログインしたから、Challengeを覗いてみよう。あれ、これ解けそうかも。せっかくだから、課題ファイルをダウンロードしてみよう。徐々にやることを増やしていきましょう。
まとめ
- Blue Team Labs Online, BTLOはディフェンダー初心者にオススメな学習サイト
- 仮想化されたトレーニング環境で安全かつ効果的にスキルを向上させることができる
- 実際の脅威アクターや攻撃手法を模倣したシナリオで没入感がある
- パスワード付きZIPファイルで配布される課題に挑戦するChallenges
- ブラウザーベースの仮想環境で指定された課題を攻略するInvestigations
大事なことなので、もう一度。
合い言葉は、“Stay Vigilant!“(ステイ・ビジラント, 警戒を怠るな!)
参考情報
コメント