1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@nozomi2025

【セキュリティ】Red Team Engagements とは

Last updated at Posted at 2026-01-22

はじめに

Red Team の強さは、ゼロデイや C2 ではなく
「契約された敵役として、事故なく成果を出す設計力」 で決まります。

そして設計力の中心にあるのが、

  • Objectives(目的)
  • Scope(範囲)
  • Rules of Engagement(RoE)
  • Campaign Planning(計画)
  • Engagement Documentation(文書)

です。

1. Red Team Engagement の本質

ペネトレーションテストとの違い

ペネトレーションテスト(Penetration Test)
  • 主目的:脆弱性の発見・侵入可否
  • 成果物:脆弱性リスト、CVSS、修正提案
Red Team Engagement
  • 主目的:侵入後にどこまで到達できるか/検知・対応されるか
  • 評価対象:技術+人+プロセス
  • 成果物:組織全体の防御成熟度の評価

Red Team は以下を観測します:

  • SOC は侵害を検知できたか
  • CSIRT は正しくエスカレーションできたか
  • 初動対応・封じ込めは機能したか

Red Team Engagement は
**「攻撃」ではなく「組織耐性テスト」**です。

2. Objectives(目的)— すべての起点

Objectives は「やること」ではなく
Success Criteria(成功条件) です。

良い Objectives の 3 要素

  1. Goal:何を評価するか
  2. Evidence:達成をどう証明するか
  3. Stop Line:どこで止めるか

  • Goal:内部横展開に対する検知・対応能力を評価
  • Evidence:検知までの時間、対応フロー、封じ込め可否
  • Stop Line:本番停止・大量通信・PII 抽出は禁止

3. Scope(範囲)— 「できること」より「やってはいけないこと」

Scope は Client が定義する制限条件です。
Red Team はこれを絶対に尊重します。

よくある Scope

  • Production 環境は対象外
  • 特定 IP レンジは Out of Scope
  • DoS / DDoS 禁止
  • PII の抽出・持ち出し禁止

Red Team 視点での読み解き(重要)

“No exfiltration of data”
  • ファイル閲覧は?
  • ハッシュ取得は?
  • スクリーンショットは?

👉 Evidence として何が許容されるかを事前に合意必須

4. Rules of Engagement(RoE)— 最重要文書

RoE は 法的に有効な合意文書です。
これがなければ、Red Team の行為は正当化されません。

RoE に必須の要素

  • Objectives / Scope
  • 禁止事項
  • Stopping Conditions
  • PoC と連絡手段
  • 実施期間・時間帯
  • 証跡の扱い
  • 承認(署名)

Stopping Conditions(実務テンプレ)

  • 条件:サービス障害の兆候
    • 行動:即時停止
    • 連絡:PoC へ電話+Slack
  • 条件:第三者による実攻撃の兆候
    • 行動:停止・証跡保全
    • 連絡:Client CSIRT
  • 条件:Operator Burn
    • 行動:作戦変更協議
    • 連絡:Red Team Lead

5. Campaign Planning — Red Team は「作戦」を立てる

Red Team Engagement では以下の 4 文書を用います:

  1. Engagement Plan
  2. Operations Plan
  3. Mission Plan
  4. Remediation Plan

6. Engagement Plan

6.1 CONOPS(Concept of Operations)

非技術者向けの作戦概要
経営層が読んで理解できることが前提です。

含める内容
  • Client / Service Provider
  • 期間
  • 高レベル Objectives
  • フェーズ構成
  • 想定 Threat Group(任意)
  • 制約事項

6.2 Resource Plan

CONOPS を 現実的な計画に落とす文書。

  • 人員
  • 日程
  • クラウドコスト
  • 必要スキル

👉 予算・稼働時間が曖昧だと、実行中に必ず破綻します。

7. Operations Plan — 運用と連携

Operations Plan では以下を定義します:

  • 使用する TTP(高レベル)
  • 通信手段(Slack / Email / VECTR 等)
  • 日次報告方式
  • Stopping Conditions
  • PoC 連絡フロー

8. Mission Plan — Red Team 内部設計図

Mission Plan は オペレーター向け文書

最低限含める項目

  • Objectives
  • Operators
  • Targets
  • Execution Variants
  • Evidence Plan

Evidence Plan の例(PII 抽出禁止時)

  • ファイル先頭数行のマスキングスクショ
  • ハッシュ値取得
  • アクセスログ証明

9. Remediation Plan — Red Team の本当のゴール

Red Team Engagement の価値は 改善に変換できるかで決まります。

  • エグゼクティブ向け要約
  • 技術者向け詳細
  • 優先度付き改善案
  • 追加支援(検知ルール、訓練)

10. 実務で「強い Red Team」が必ずやること

事前

  • RoE 署名済み
  • Scope 定義明確
  • Evidence 取得方法合意
  • 緊急連絡網確定

実施中

  • 日次報告テンプレ運用
  • 証跡保全ルール統一

事後

  • 改善ロードマップ提示
  • Lessons Learned の共有

まとめ

Red Team は、

  • ツールが強い人
  • 攻撃が派手な人

ではありません。

  • 合意を理解し
  • 計画を立て
  • 安全に実行し
  • 改善に導く

これができるチームが、
信頼される Red Team です。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?