#### TLPTコラム TLPT(Threat-Led Penetration Test)は、脅威ベースのペネトレーションテストと訳されており、関連するドキュメントは金融庁から公開されています。 - 諸外国の脅威ベースのペネトレーションテスト(TLPT)に関する報告書公表について https://www.fsa.go.jp/common/about/research/20180516.html - 「脅威ベースのペネトレーションテスト」及び「サードパーティのサイバーリスクマネジメント」に関するG7の基礎的要素の公表について https://www.fsa.go.jp/inter/etc/20181015/20181015.html TLPTは金融セクターのサイバーレジリエンス力を評価し、高めていくことを目的としています。従来のペネトレーションテストでは、汎用的な脅威による脅威シナリオ(インターネットから特定のサーバに侵入できるかなど)を想定しテストを行うことが一般的です。それに対してTLPTでは、対象する組織に対する固有の脅威を調査・分析し、その結果から現実的な脅威シナリオを作成した上でペネトレーションテストを行うことで、サイバーレジリエンス力を評価するところまで要求されています。TLPTでは、実施すべきタスクが明確化されおり、ペネトレーションテストの実施だけではなく、組織における脅威を分析しリスク評価することやペネトレーションテストの結果およびBlue Teamの攻撃に対する検知・ブロック結果についても分析を行う必要があります。 具体的な実施内容は、『「脅威ベースのペネトレーションテスト」及び「サードパーティのサイバーリスクマネジメント」に関するG7の基礎的要素の公表について』において「TLPTのG7基礎的要素」として以下が定義されています。 1.スコープ設定とリスクマネジメント 2.リソース確保 3.脅威情報 4.ペネトレーションテスト 5.完了および改善 6.類型化したデータ ※仮訳より引用 1.スコープ設定とリスクマネジメント テストの対象となる範囲を定義します。ITサービスプロバイダなどを含む重要な役割やサービスの担当者やプロセス、技術も明確にし、テスト実施によるリスクを踏まえて、リスクを適切に管理する必要があります。 2.リソース確保 適切なテストを実施するために、Threat Intelligence ProviderやPenetration Test Providerの選定は実績などを参考にして慎重に行うべきとされています。 3.脅威情報 Threat Intelligenceのメインとなる範囲で、脅威情報の収集・分析を行い、脅威シナリオなどを作成します。 4.ペネトレーションテスト 脅威シナリオに基づきRed Teamが実践的なテストを実施します。Blue Teamは、Red Teamの攻撃を検知・ブロックします。White Teamは、Red TeamおよびBlue Teamへの調整を行い、適切にテストが実行できるようにリスクコントロールを行います。 5.完了および改善 Blue Teamでの検知・ブロック結果なども含めてペネトレーションテストの結果を分析し、サイバーレジリエンス(サイバー攻撃による被害を極小化し復旧する能力)を高めるための改善策を作成します。 6.類型化したデータ 金融セクターのサイバーレジリエンスの改善に貢献するために、金融機関の間で類型化したデータを共有します。