Shikata Ga Nai

Private? There is no such things.

はじめての Kali Purple と NIST CSF

Kali Linux

Hello there, ('ω')ノ

サイバーセキュリティの世界は複雑で専門用語が多く、非エンジニアの方にとっては少しとっつきにくいかもしれません。でも、実は基本的な考え方を押さえておくと、サイバー攻撃がどんなふうに行われるのか、どうやって守ればいいのかがグッとわかりやすくなるんです。

今回は、Kali Linux ベースで生まれた「Kali Purple」というセキュリティプラットフォームと、NIST CSF(米国国立標準技術研究所が提示するサイバーセキュリティフレームワーク)について、幅広い内容をまとめてご紹介します。専門的なツール名や用語が登場しますが、なるべく噛み砕いて説明していきますので、気軽に読んでみてください。

Kali Purple とは?

Kali Purple は、もともとペンテスト(ペネトレーションテスト)のためのディストリビューション(OS)として有名な Kali Linux をベースに、Blue Team(防御側)やさらに広いサイバー防御の視点でも活用できるように拡張・再構成されたプラットフォームです。

Kali Purple の特徴

  • 元々は概念実証的に始まったものの、急速に進化して フレームワークプラットフォーム の両面を備えるようになった。
  • Identify(識別)Protect(防御)Detect(検知)Respond(対応)Recover(復旧) の 5 つの基本的なサイバー防御ステージ(NIST CSF 1.0)を意識して構築されていた。
  • 2024 年 2 月に NIST CSF 2.0 で追加された Govern(ガバナンス) という新たなステージとも関連して、より総合的なセキュリティ管理をサポートできる。

NIST CSF とは?

NIST(National Institute of Standards and Technology; 米国国立標準技術研究所) は、1901 年に物理科学の研究所として設立されました。もともと工場産業などに関連する物理的な技術標準を扱う機関でしたが、現在ではサイバーセキュリティにおけるベストプラクティスを定義し、多くの企業や組織がセキュリティ対策に利用しています。

NIST CSF の誕生と進化

  • サイバー攻撃や脅威が高度化・巧妙化する中で、情報システムのセキュリティとレジリエンス を強化し、機密データ を保護するための標準的な枠組みを提供する。
  • もともとは 5 つのステージ(Identify、Protect、Detect、Respond、Recover)だったが、2024 年 2 月に Govern(ガバナンス) が追加されたことで 6 段階のフレームワークとなった(NIST CSF 2.0)。

NIST CSF の 6 つの機能(Core Functions)

NIST CSF は大きく Core(コア)Implementation Tiers(実装レベル)Profiles(プロファイル) の 3 つから構成されますが、ここでは Core(6 つの基本機能)に注目します。

1. Identify(識別)

組織の 資産ビジネス環境サイバーセキュリティリスクプロセス を正確に把握・文書化する段階です。ここで重要となる項目は次のとおりです。

  • Asset management(資産管理)
    システムやデータ、ネットワーク機器など、すべての資産を把握する。
  • Business environment(ビジネス環境)
    組織が何を目的に、どんなサービスや業務を行っているかを理解する。
  • Governance(ガバナンス)
    組織のポリシーや規定を整備し、守られているかを確認する。
  • Risk management and strategy(リスク管理と戦略)
    どんなリスクがあり、どのように対応するかを計画する。
  • Supply chain risk management(サプライチェーンリスク管理)
    外部ベンダーや取引先が絡むリスクを見逃さない。
  • Cybersecurity roles and responsibilities(サイバーセキュリティにおける役割と責任)
    誰がどの部分を担当し、責任を持つかを明確にする。

Identify に関連する主なツール

  • Kali Linux に含まれる Red Team 系のツールが多い
    • GVM(Greenbone Vulnerability Manager)
    • Kali Autopilot
    • Maltego
    • ZAP(OWASP Zed Attack Proxy)
      などが脆弱性発見や情報収集に役立ちます。

2. Protect(防御)

組織の 資産インフラ のセキュリティ、完全性、レジリエンスを確保するための防護策を実装する段階です。

  • Access control(アクセス制御)
    ID やパスワード、認証システムを整備する。
  • Awareness and training(意識啓発とトレーニング)
    社員や関係者の教育を行い、セキュリティ意識を高める。
  • Data security(データセキュリティ)
    暗号化やバックアップなど、情報を保護する。
  • Information protection, processes, and procedures(情報保護、プロセス、手順)
    セキュリティポリシーや手順を整備・実行する。
  • Technology maintenance(テクノロジーのメンテナンス)
    システムを常に最新の状態に保つ。
  • Secure tech configurations(安全な技術設定)
    不要なポートを閉じる、設定ミスをなくすなど。

Protect に関連する主なツール

  • Suricata
    ネットワーク侵入防止システム(IPS)として使用可能。
  • Zeek
    ネットワーク監視やトラフィック分析が得意。
    ※ Zeek は Detect(検知)機能にも該当。

3. Detect(検知)

継続的に サイバーセキュリティイベント を特定・検知し、タイムリーに対応する機能です。

  • Continuous monitoring(継続的モニタリング)
    ログやシステムの状態を常に監視する。
  • Anomaly detection(異常検知)
    いつもと違う振る舞いをすばやく見つける。
  • Threat intelligence integration(脅威インテリジェンスの統合)
    最新の脅威情報を活用し、攻撃を事前に想定する。
  • Incident response preparedness(インシデント対応の準備)
    何か起きたときにスムーズに対処できる体制を整える。
  • Vulnerability scanning and assessment(脆弱性スキャンと評価)
  • Security event correlation(セキュリティイベントの相関分析)
  • Endpoint detection and response(エンドポイント検知・対応)
  • Threat hunting and analysis(脅威ハンティングと分析)

Detect に関連する主なツール

  • ELK Stack(Elasticsearch, Logstash, Kibana)
    それぞれの設定次第で大きく検知力が向上。
  • Arkime
    大規模パケットキャプチャ・解析プラットフォーム。
  • Zeek
    Protect にも分類されるが、検知機能としても活躍。

4. Respond(対応)

サイバーセキュリティインシデントや侵害、障害に 迅速かつ効果的に対応 するための手段やプロセスを確立する機能です。

  • Incident response planning(インシデント対応計画)
  • Containment and eradication(封じ込めと根絶)
  • Communication and reporting(コミュニケーションと報告)
  • Evidence preservation(証拠の保全)
  • Recovery and remediation(復旧と修復)
  • Post-incident analysis(インシデント後の分析)
  • Legal and regulatory compliance(法律・規制遵守)
  • Business continuity and resilience(事業継続性とレジリエンス)
  • Stakeholder coordination(ステークホルダーとの連携)

Respond に関連する主なツール

  • Cortex
  • MISP(Malware Information Sharing Platform)
  • TheHive
    これらはインシデント管理や対応の効率化に特化。

5. Recover(復旧)

インシデントや障害が起こった後、組織の能力やサービスを復元・回復・再構築 するための機能です。

  • Continuity planning(継続性計画)
  • Resource restoration(リソースの復旧)
  • Data recovery and integrity(データの復旧と完全性)
  • Infrastructure reconstitution(インフラの再構築)
  • Resilience and redundancy(レジリエンスと冗長性)
  • Post-incident analysis and improvement(インシデント後の分析と改善)
  • Stakeholder communication(ステークホルダーとのコミュニケーション)
  • Legal and regulatory compliance(法律・規制遵守)
  • Vendor and supply chain coordination(ベンダー・サプライチェーンとの連携)
  • Business impact assessment(ビジネス影響評価)

Recover に関連する主なツール

  • ElasticsearchSuricataZeek のログ解析
    これらの記録から原因を突き止め、再発防止策を講じる。
  • TheHive/Cortex
    インシデント情報の追跡・分析を実施。

6. Govern(ガバナンス)

2024 年 2 月リリースの NIST CSF 2.0 で追加された、いわば 全体を俯瞰する 機能。CISO(最高情報セキュリティ責任者)を主対象に、組織の方針や透明性を高め、セキュリティ役割の明確化や手続きを強化します。

  • セキュリティに関わるガイドラインの整備や、組織レベルでの統括・監督を行う。
  • これまでの 5 つの機能(Identify, Protect, Detect, Respond, Recover)を 包括的に支える立ち位置
  • リスク管理、役割分担、ポリシー策定といったマネジメント面を総合的に把握する。

Kali Purple が NIST CSF を意識している理由

Kali Purple は、NIST CSF の 6 つの機能を意識しつつ、サイバー攻撃の シミュレーション(Red Team)防御(Blue Team) の両面を補完するツールを揃えているのが大きな特徴です。特に、Kali Linux 由来のペンテストツールに加え、Blue Team 向けのログ解析や脅威検知ツールが豊富に含まれています。

  • デフォルトの Kali Linux には 600 を超えるツール
  • Kali Purple ではさらに 100 程度のツールが追加
  • Red チームと Blue チームを包括的に支援し、「Purple チーム」としての役割にも対応しやすい

最後に:学び続けるために

サイバーセキュリティの世界は攻守のいたちごっこです。新たな脆弱性が見つかれば、それを悪用する攻撃者が現れ、それを防ぐために対策を研究・実装する守備側がいます。学びが止まることはありません。しかしそれは、知的好奇心を絶えず刺激してくれる、とても面白い世界でもあります。

プロフェッショナルな問題解決者として

  • 他者を見下さず、互いをサポートし合う コミュニティを大切にする。
  • 技術力だけでなく、謙虚さ好奇心 を持って学び続ける。
  • ツールはあくまでも手段。真に重要なのは問題解決の姿勢とプロセス。

これからのキャリアに向けて

  • Blue チームでも Red チームでも、あるいは Purple チーム でも、学ぶことはたくさんあります。
  • まずはご自身の興味を優先して、面白そうなツールや分野を深掘りしてみてください。

まとめ

Kali Purple が NIST CSF に沿って構成されている理由や、NIST CSF の 6 つのコア機能それぞれが組織のセキュリティをどのように支えているかを概観しました。サイバーセキュリティは、一度身につければ終わりというものではなく、常に変化し続ける領域です。悪意のある攻撃者の手口が進化し続ける限り、私たちも学び、実践し、共有していく必要があります。

Best regards, (^^ゞ