TLPTとは何か:一般的なペネトレーションテストとの根本的な違い
TLPT(Threat-Led Penetration Testing:脅威ベースのペネトレーションテスト)とは、実際に自組織を狙う可能性が高い脅威アクター(攻撃グループ)の具体的な戦術・技法・手順(TTP: Tactics, Techniques, and Procedures)を事前に調査・分析した上で、それを再現する高度なペネトレーションテストです。
一般的なペネトレーションテストが「一般的な攻撃手法に対して脆弱性があるか」を検証するのに対し、TLPTは「この組織を実際に攻撃するとしたら、どのような攻撃者がどのような経路で侵入し、どこまで到達できるか」という問いに答えます。
TLPTの特徴を一言で表すなら、「仮想敵を設定して本物に近い攻撃を仕掛ける、組織の実戦耐性テスト」です。
TLPTは「Threat-Led Penetration Testing」の略称で、日本語では「脅威ベースのペネトレーションテスト」または「脅威インテリジェンス駆動型ペネトレーションテスト」とも呼ばれます。金融庁文書でも同略称が使われています。
金融庁ガイドラインにおけるTLPTの位置づけ
2024年10月公表のサイバーセキュリティガイドライン
2024年10月、金融庁は改訂版「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。このガイドラインは、従来の検査・監督上の指針を統合・体系化した金融機関向けの包括的なサイバーセキュリティ指針です。
注目すべきは、同ガイドラインの中でペネトレーションテスト・TLPTが明確に言及されたことです。具体的には、サイバーレジリエンスの強化策として「対応が望ましい事項」の一つとして位置づけられています。
「対応が望ましい事項」とは金融庁の用語で、法令上の義務ではないものの、金融機関のリスク管理の高度化・国際標準との整合性の観点から実施を強く推奨する事項を指します。大手金融機関や上場金融グループにとっては、実質的に対応を求められる事項と理解するのが妥当です。
背景:金融インフラへのサイバー攻撃の深刻化
なぜ2024年にこのような指針が明記されたのでしょうか。その背景には、金融インフラを標的とするサイバー攻撃の深刻化があります。
2023〜2024年にかけて、国内外の金融機関に対するランサムウェア攻撃やシステム侵害事案が相次ぎました。欧州では2023年に複数の主要金融機関がDDoS攻撃を受け、国内でも証券会社・地方銀行のシステム障害事案が報道されています。
また、国際的な観点では欧州中央銀行(ECB)が2017年にTIBER-EUフレームワークを策定し、EUの重要金融機関に対してTLPT相当の実施を推奨・要求してきた流れがあります。日本の金融庁ガイドラインはこの国際潮流を受けた対応とも言えます。
FISCガイドラインとの関係
TLPT・ペネトレーションテストに関連する規制としては、金融情報システムセンター(FISC)が発行する「金融機関等コンピュータシステムの安全対策基準・解説書」(通称:FISC安全対策基準)も重要です。
FISC安全対策基準の最新版(第11版改訂版、2023年3月)では、システムの安全性確認手段として脆弱性診断・ペネトレーションテストの実施が記載されており、金融庁ガイドラインと合わせて二重の規制環境が形成されています。
TLPTや金融機関向けペネトレーションテストの実施を検討されている場合、まずは専門家との無料相談で自社の状況に合ったアプローチを確認することをお勧めします。
TLPTと通常のペネトレーションテストの違い
TLPTと一般的なペネトレーションテストは、名称こそ似ていますが、目的・実施主体・深度・期間のすべてにおいて根本的に異なります。以下の表で整理します。
比較軸 | 通常のペネトレーションテスト | TLPT |
|---|---|---|
目的 | 特定システムの技術的脆弱性を発見する | 組織全体の実戦耐性・検知・対応能力を評価する |
攻撃シナリオ | 一般的な攻撃手法・OWASPなどの標準に基づく | 自組織を狙う特定脅威アクターのTTPを再現 |
スコープ | 特定のシステム・アプリケーション | 組織全体(ネットワーク・人・プロセス含む) |
実施期間 | 数日〜数週間(短期集中) | 3〜6ヶ月以上(長期・段階的) |
実施体制 | テストベンダー1社 | レッドチーム+ホワイトチーム+脅威インテリジェンス提供者の3者体制が基本 |
主な評価対象 | 技術的脆弱性の有無 | 攻撃の検知・対応・復旧能力(Blue Teamの実力) |
報告書の性質 | 脆弱性リスト・修正推奨事項 | 攻撃シナリオ再現レポート・組織レジリエンス評価 |
費用規模 | 数十万〜数百万円 | 数百万〜数千万円 |
「レッドチーム演習」との関係
TLPTはしばしば「レッドチーム演習(Red Team Exercise)」と混同されます。両者は密接に関係しますが、厳密には以下の違いがあります。
レッドチーム演習は、攻撃者の役割を担うチーム(レッドチーム)が防御側(ブルーチーム)の検知・対応能力を試す演習の総称です。TLPTはこれをさらに具体化し、「実際の脅威インテリジェンスに基づく攻撃シナリオ」と「金融当局による監督・検証プロセス」を組み合わせた、金融規制上の文脈で用いられるより厳格なフレームワークです。
TIBER-EUとの比較:国際標準フレームワークを理解する
TIBER-EUとは
TIBER-EU(Threat Intelligence-Based Ethical Red Teaming – European Union)は、欧州中央銀行(ECB)が2018年に策定した、EU域内の重要金融機関向けのサイバーレジリエンス評価フレームワークです。EU各国の中央銀行・金融当局が採用しており、英国のCBESTなどのフレームワークとも相互承認されています。
TIBER-EUの特徴は、以下の3フェーズからなる厳格な実施プロセスです。
- 準備フェーズ(Preparation Phase):スコープ設定、ホワイトチーム(監督側)の設置、脅威インテリジェンス提供者の選定
- テストフェーズ(Testing Phase):脅威インテリジェンスに基づくターゲット・スレットインテリジェンス(TTI)の作成、レッドチームによる実攻撃の実施
- クロージングフェーズ(Closure Phase):結果のまとめ、レッドチームとブルーチームの共有レポート(Purple Teaming)、当局への報告
日本のTLPTとTIBER-EUの関係
日本の金融庁ガイドラインにおけるTLPTは、TIBER-EUを参考に設計されています。金融庁が2023年に実施した銀行向けTLPT実証事業、2024年の保険向けTLPT実証事業は、いずれもTIBER-EUのフレームワークを日本の規制環境に適合させた形で実施されました。
主な相違点は以下の通りです。
比較軸 | TIBER-EU | 日本のTLPT(金融庁) |
|---|---|---|
策定主体 | 欧州中央銀行(ECB) | 金融庁(FISC等が補完) |
法的位置づけ | EU加盟国の規制として実施 | 「対応が望ましい事項」(現時点) |
適用範囲 | EU域内の重要金融インフラ | 大手金融機関・グループ(現在は推奨段階) |
認証制度 | TIBER認証あり | 認証制度は未整備(検討中) |
実施の透明性 | 当局への正式報告が必須 | 実証事業を通じた知見共有が主 |
TLPTの実施ステップ:4段階のプロセス
TLPTを実施する際の標準的なプロセスは、以下の4段階で構成されます。
ステップ1:事前準備・スコープ定義(1〜2ヶ月)
TLPTの最初のステップは、何を守るべきか、何を評価するかを明確にすることです。
ホワイトチームの設置:TLPTでは、テスト全体を監督・管理する「ホワイトチーム」を設置します。ホワイトチームは経営層・CISO・法務・コンプライアンス担当者で構成され、テストの適法性確認・機密情報管理・インシデント発生時の対応判断を担います。
重要機能・システムの特定:金融機関として守るべき重要機能(コアバンキング、決済システム、顧客情報管理など)を特定し、これをテストの対象スコープとして定義します。
脅威インテリジェンスの収集依頼:専門の脅威インテリジェンス提供者(CTI: Cyber Threat Intelligence)に対し、自組織を狙う可能性が高い脅威アクターの調査を依頼します。ダークウェブ上の情報収集や、金融業界を標的とする既知攻撃グループの分析が含まれます。
ステップ2:脅威インテリジェンス分析・攻撃シナリオ策定(1〜2ヶ月)
収集した脅威インテリジェンスをもとに、レッドチームが実行する攻撃シナリオを策定します。
ターゲット・スレットインテリジェンス(TTI)の作成:自組織を狙う脅威アクターのプロファイル(使用するマルウェア・フィッシング手法・ラテラルムーブメント技術など)を詳細に記述したドキュメントを作成します。これはTIBER-EUで定義されている重要な成果物です。
攻撃シナリオの承認:ホワイトチームがTTIと攻撃シナリオを確認し、スコープの適切性・法令遵守・実施可能性を審査して承認します。
ステップ3:レッドチームによる実攻撃の実施(2〜3ヶ月)
承認されたシナリオに基づき、レッドチームが実際の攻撃と同等の手法で侵入を試みます。
実施される攻撃手法の例:
- スピアフィッシングメールによる初期侵入
- VPN・リモートアクセス環境への認証攻撃
- 取引先・サプライチェーンを経由した侵入
- 内部ネットワーク内での権限昇格・ラテラルムーブメント
- 重要システムへの到達・情報窃取シミュレーション
この段階でブルーチーム(SOC・CSIRT等の防御側)は、TLPTが実施中であることを知らない状態(盲検)で通常業務を行います。これが実戦耐性テストとしての重要な要素です。
ステップ4:報告・フィードバック・改善計画(1〜2ヶ月)
テスト終了後、レッドチームとブルーチームが結果を共有するパープルチーム演習を実施します。
クローズアウトレポートの作成:攻撃シナリオごとの成功・失敗の詳細、検知・対応の有効性評価、改善推奨事項を含む包括的なレポートを作成します。
経営層・当局への報告:エグゼクティブサマリーをCISO・取締役会レベルで共有し、必要に応じて金融当局への報告を行います。
改善計画の策定:発見された課題(検知ルールの欠落・インシデント対応手順の不備・パッチ管理の遅延など)に対する改善ロードマップを策定します。
実施期間と費用の目安
期間の目安
TLPTは長期プロジェクトです。標準的な実施期間は以下の通りです。
フェーズ | 期間の目安 |
|---|---|
事前準備・スコープ定義 | 1〜2ヶ月 |
脅威インテリジェンス分析 | 1〜2ヶ月 |
レッドチーム実施 | 2〜3ヶ月 |
報告・パープルチーム | 1〜2ヶ月 |
合計 | 5〜9ヶ月 |
費用の目安
TLPTの費用は、スコープ・規模・実施体制によって大きく異なりますが、一般的な相場は以下の通りです。
実施規模 | 費用の目安 |
|---|---|
中堅金融機関(地方銀行・中堅証券など) | 1,500万〜3,000万円程度 |
大手金融機関・メガバンクグループ | 3,000万〜8,000万円以上 |
FinTech企業(スコープ限定) | 500万〜1,500万円程度 |
これらの費用には、脅威インテリジェンス提供者への報酬、レッドチームの工数、ホワイトチームの管理コスト、報告書作成費用が含まれます。
上記の費用はあくまで市場の一般的な目安です。実際の費用はスコープ・期間・実施体制によって大きく変わります。正確な見積もりは専門ベンダーへの相談が必要です。
銀行・保険のTLPT実証事業の動向
2023年:銀行向けTLPT実証事業
金融庁は2023年度に、複数の銀行を対象とするTLPT実証事業を実施しました。この実証事業では、TIBER-EUのフレームワークを参考にしながら、日本の規制環境・商慣習に適合したTLPT実施手順のパイロット検証を行いました。
実証事業の成果として、以下の知見が共有されています。
- スコープ設定の難しさ:金融機関のシステムは相互依存が複雑で、テスト中に意図せず関連系統に影響が及ぶリスクがある
- ホワイトチーム運営の重要性:法的・倫理的な問題を回避しつつテストを有効に進めるためのガバナンス体制が不可欠
- ブルーチームの成熟度のばらつき:SOCの24時間監視体制が整っていない機関では、TLPTの有効性が限定的になる
2024年:保険向けTLPT実証事業
2024年度には対象が保険業界に拡大されました。銀行業界と比較して保険業界はITシステムの近代化が遅れているケースがあり、レガシーシステムと新システムの混在環境でのTLPT実施という新たな課題が浮上しています。
金融庁の実証事業に参加した機関の知見は、今後のガイドライン改訂や業界標準の策定に活用される見通しです。大手金融機関は今から社内体制の整備を進めることで、本格的な義務化に向けた準備リードタイムを確保できます。
TLPT実施に向けた社内体制の準備
TLPTを実効的に機能させるために、事前に整備しておくべき社内体制があります。
ホワイトチームの組成
前述の通り、TLPTはホワイトチームなしには適切に機能しません。経営層の関与・意思決定権限の明確化・法務との連携体制を事前に構築してください。
SOC・CSIRTの成熟度確認
TLPTで最も重要な評価対象の一つが「ブルーチームの実力」、つまりSOC・CSIRTの検知・対応能力です。TLPTを実施する前に、自組織のSOCが24時間365日の監視体制を持っているか、インシデントレスポンス手順が整備・訓練されているかを確認してください。
SOCが未整備の状態でTLPTを実施しても、「何も検知できなかった」という結果が出るだけで、有意義な改善アクションにつながりません。まずは基礎的なSOC体制の構築・強化を優先することを推奨します。
脅威インテリジェンスの内製化・外部調達
TLPTの品質は脅威インテリジェンスの質に大きく依存します。自組織を狙う脅威アクターに関する情報収集を、外部の専門CTI提供者に依頼する体制を構築してください。AEVUSが提供するダークウェブ監視サービスは、こうした脅威インテリジェンスの収集基盤として活用できます。
よくある質問(FAQ)
Q1. TLPTは中小規模の金融機関も実施すべきですか?
A. 現時点の金融庁ガイドラインでは、TLPTは「対応が望ましい事項」として大手金融機関・金融グループを主な対象として想定しています。中小規模の地方銀行・信用金庫・中堅証券などについては、まず通常のペネトレーションテストや脆弱性診断を定期的に実施し、SOC・CSIRT体制を整備した上で、将来的なTLPT実施を検討するというロードマップが現実的です。
Q2. TLPTとレッドチーム演習は何が違いますか?
A. 両者は密接に関係しますが、TLPTはより厳格なフレームワークです。TLPTは金融規制当局の監督下で実施され、脅威インテリジェンスの調達・ホワイトチームの設置・当局への報告が必須要素として定義されています。レッドチーム演習は、こうした規制的な枠組みを必ずしも必要とせず、組織が独自に設計・実施できる演習を広く指します。
Q3. TLPTの実施中にシステム障害が起きた場合はどうなりますか?
A. TLPTのスコープ設計・ホワイトチームの役割の一つが、このリスク管理です。本番環境への影響を最小化するため、テスト前のバックアップ確保・実施時間帯の制限(深夜・休日のオフピーク時間帯)・緊急停止プロトコルの設定などが標準的なリスク管理措置として実施されます。ベンダー選定の際には、金融機関の本番環境でのTLPT実施経験と、インシデント発生時の対応体制を必ず確認してください。
Q4. TIBER-EU認証を取得する必要はありますか?
A. 日本の金融機関がEU規制の適用を直接受けない限り、TIBER-EU認証の取得は必須ではありません。ただし、EU域内に子会社・支店を持つグローバル金融機関の場合、グループレベルでのTIBER-EU対応が求められるケースがあります。また、TIBER-EUのフレームワークは品質基準として参照する価値があり、日本のTLPT実施においても準拠することが推奨されています。
Q5. ペネトレーションテストとTLPTを組み合わせるとしたら、どちらを先に実施すべきですか?
A. 通常のペネトレーションテストを先に実施することを推奨します。ペネトレーションテストで技術的な脆弱性を把握・修正した上で、より高度な実戦耐性テストであるTLPTに臨む方が、費用対効果が高くなります。TLPTを実施する際に基本的な脆弱性が多数残存していると、テストの焦点が本来の「組織レジリエンスの評価」ではなく「基礎的な脆弱性修正」に向いてしまうためです。詳細はペネトレーションテストと脆弱性診断の違いをご参照ください。
Q6. 費用を抑えてTLPTに近い効果を得る方法はありますか?
A. フルスケールのTLPTが難しい場合、以下の段階的アプローチが有効です。①まず定期的なペネトレーションテストで技術的な脆弱性管理を確立する、②BAS(侵害シミュレーション)を導入してSOCの検知能力を継続的に評価する、③限定的なスコープでのレッドチーム演習を試験的に実施する、という順序でセキュリティ成熟度を段階的に高めてからTLPTに移行するロードマップが、多くの金融機関にとって費用対効果の高いアプローチです。
Q7. TLPTの実施頻度はどの程度が適切ですか?
A. TIBER-EUでは3年ごとの実施が一般的な目安とされています。日本の金融庁ガイドラインでは現時点で頻度の具体的な定めはありませんが、実証事業の知見を踏まえると、3〜5年に1回程度の実施が現実的な目安として業界で議論されています。ただし、M&A・大規模システム更改・新たな重要サービスの開始など、リスク環境が大きく変化した場合には追加実施を検討することを推奨します。
まとめ:金融機関が今から着手すべきTLPT対応
金融庁の2024年サイバーセキュリティガイドラインにより、TLPTは金融機関のセキュリティ管理の高度化において無視できない課題となりました。
TLPTは単なる技術的なテストではなく、組織全体のサイバーレジリエンスを評価・強化するための包括的なプロセスです。その実施には、ホワイトチームの組成・SOC体制の成熟・脅威インテリジェンスの調達・信頼できるレッドチームベンダーの選定という、相互に関連する準備が必要です。
現時点でTLPTの本格実施が難しい場合でも、①通常のペネトレーションテストの定期化、②SOC・CSIRT体制の強化、③脅威インテリジェンスの収集基盤の構築という3点から着手することで、将来的なTLPT実施に向けた組織的な準備を進められます。
金融機関のペネトレーションテスト全般については、金融機関が実施するペネトレーションテスト完全ガイドもあわせてご参照ください。
AEVUSは三井住友カードをはじめとする金融機関への導入実績を持つサイバーセキュリティ専門ブランドです。TLPTの準備段階から実施まで、金融機関固有の要件に精通した専門家がサポートします。
