グローバルセキュリティの課題を可視化、三菱UFJ銀行が選んだレッドチーム演習

　三菱UFJ銀行では、顧客の資産や情報を守るためにセキュリティ対策を最優先事項とし、さまざまな取り組みを行っている。中でも、攻撃への対応能力を第三者に評価してもらうべく定期的に実施されているのが、ペネトレーションテストだ。テストは毎年異なるテーマで行われており、2022年には「海外拠点を踏み台にした攻撃」を攻撃シナリオとして演習を行った。

　その実施に当たっては、卓越した攻撃力と高度な技術力を備えたレッドチームを擁するセキュリティベンダーが、海外拠点から日本国内までを網羅的に検証する演習を実施した。実際の演習では、日本だけでなく海外のテスターも参加し、各拠点を踏み台とした日本国内への攻撃が実際に仕掛けられ、多層防御において改善・強化すべきポイントを洗い出すことに成功した。

　また、詳細なレポートの共有により経営層の間でサイバーリスクへの認識が高まり、グループ全体でのセキュリティ意識も向上するなど、多くの成果が挙がっているという。本資料で、同行の取り組みを詳しく見ていこう。