英国 商業的な攻撃的サイバー能力 (2025.08.08)

こんにちは、丸山満彦です。

英国の科学、イノベーション＆テクノロジー省が、民間のレッドチームサービスについての報告書を公表していますが、興味深いですね...

レッドーチームサービスを提供している実務家にヒアリングしたこともあるのでしょうか、わりと目先の課題にフォーカスが当たっている感じになっています。OT環境へのサービス提供、AIの活用について力を入れている感じですね。。。また、インテリジェンスの活用も進んでいる感じですね...

一方、量子コンピューティングはビジネスに使われているものがほとんどないので、これからという感じで手をつけることすらしていない感じですね...あと、ブロックチェーンについてはもう忘れてしまっているのか？というくらいの興味のなさです...

まあ、目の前でいろいろなことが起こっているので、そちらに注目がいくのは当然ですね...

英国と日本では社会、経済環境が違うところがありますが、参考になるところもあるので、レッドチームビジネスをしている方、しようとしている方には参考になるかもですね...

 

● GOV.UK

・2025.08.08 Commercial offensive cyber capabilities

 

Commercial offensive cyber capabilities	商業的な攻撃的サイバー能力
Research on how the commercial offensive cyber sector is integrating emerging technologies into its commercial offerings, and the implications.	商業的な攻撃的サイバー部門が、新興技術を商業的サービスにどのように統合しているかを調査し、その影響について考察する。
Details	詳細
The commercial offensive cyber sector consists of companies offering legal and ethical security testing (commercial red teams), developers who produce tools and capabilities for the industry, and groups which conduct offensive cyber operations on behalf of third parties as a service.	商業的な攻撃的サイバー部門は、合法かつ倫理的なセキュリティテスト（商業レッドチーム）を提供する企業、業界向けのツールや機能の開発者、サードパーティに代わって攻撃的サイバー作戦を行うグループで構成されている。
This research looks at how the commercial offensive cyber sector is integrating emerging technologies into their commercial offerings and what the implications of this integration are.	この調査では、商業的攻撃的サイバー部門が、新興技術を商業的サービスにどのように統合しているか、およびこの統合が及ぼす影響について検証している。
Prism Infosec identified and approached suitable entities to achieve this, interviewing 18 companies between December 2024 and March 2025. The key findings are set out in this report.	Prism Infosec は、この目的のために適切な事業体を特定し、2024 年 12 月から 2025 年 3 月にかけて 18 社の企業にインタビューを実施した。主な調査結果は、本報告書に記載されている。
This research is part of the government’s wider work to understand the threats and opportunities in cyber security, and to improve cyber resilience across the UK economy.	この調査は、サイバーセキュリティにおける脅威と機会を理解し、英国経済全体のサイバーレジリエンスを向上させるための、政府による広範な取り組みの一環である。

 

 

 

商業的な攻撃的サイバー能力：レッドチームサブセクターに焦点を当てて

・2025.08.08 Commercial offensive cyber capabilities: red team subsector focus

 

1. Introduction	1. 序論
2. Executive summary	2. エグゼクティブサマリー
3. Requirements	3. 要件
4. Limitations	4. 制限
5. Methodology	5. 方法
5.1 Semi-structured interviews	5.1 半構造化インタビュー
5.2 Pilot phase	5.2 パイロット段階
5.3 Main phase	5.3 メイン段階
5.4 Interviews	5.4 インタビュー
5.5 Coding	5.5 コーディング
5.6 Analysis & reporting	5.6 分析と報告
6. Thematic findings	6. テーマ別調査結果
6.1 Market dynamics & trend	6.1 市場の動向と傾向
6.2 Developing for alternative systems	6.2 代替システムの開発
6.3 Client’s attitudes to cyber security	6.3 サイバーセキュリティに対する顧客の態度
6.4 Automation & efficiencies	6.4 自動化と効率化
6.5 Changes in the sector	6.5 業界の変化
6.6 Competition vs. collaboration	6.6 競争と協力
6.7 Geopolitical impact	6.7 地政学的な影響
6.8 Changes to infrastructure	6.8 インフラストラクチャの変化
6.9 Outsourcing	6.9 アウトソーシング
6.10 Shift to continuous security models	6.10 継続的なセキュリティモデルへの移行
6.11 Regulatory & compliance influence	6.11 規制およびコンプライアンスの影響
6.12 Return on investment	6.12 投資収益率
6.13 Traditional markets	6.13 従来の市場
7. Emerging technologies	7. 新興技術
議論の量。グラフの上下と目次の上下は逆です...
7.1 Attack surface monitoring/mapping/management	7.1 攻撃面のモニタリング/マッピング/管理
7.2 Big data management	7.2 ビッグデータ管理
7.3 Blockchain/crypto	7.3 ブロックチェーン/暗号
7.4 Cloud adoption & infrastructure as code	7.4 クラウドの採用とインフラストラクチャ・アズ・コード
7.5 Defensive tooling capabilities	7.5 防御ツール機能
7.6 Generative AI impact	7.6 生成的 AI の影響
7.7 Internet connected technologies	7.7 インターネット接続技術
7.8 Mimicking real-world threat actors	7.8 現実世界の脅威アクターの模倣
7.9 Quantum computing	7.9 量子コンピューティング
7.10 Social engineering & AI	7.10 ソーシャルエンジニアリングと AI
7.11 Automated vehicles	7.11 自動運転車
8. Investments & acquisitions	8. 投資と買収
8.1 Adoption of technologies for the entire business	8.1 ビジネス全体へのテクノロジーの採用
8.2 Customer expectations for AI	8.2 AI に対する顧客の期待
8.3 Improving efficiency through investment	8.3 投資による効率の向上
8.4 R&D investment over acquisitions	8.4 買収に対する研究開発投資
9. Talent & recruitment	9. 人材と採用
9.1 Key skills wanted from recruitment	9.1 採用で求められる重要なスキル
9.2 Retention through innovation & culture	9.2 イノベーションと文化による人材の定着
9.3 Cross-skilling vs. direct hire	9.3 クロススキルと直接採用
10. Future implications & risks	10. 将来的な影響とリスク
10.1 Balancing innovation & security	10.1 イノベーションとセキュリティのバランス
10.2 AI commoditisation & market disruption	10.2 AI のコモディティ化と市場の混乱
10.3 Undefined expected innovation	10.3 予測不可能なイノベーション
10.4 Future regulation	10.4 将来の規制
10.5 Security risks & concerns	10.5 セキュリティリスクと懸念
10.6 Service delivery benefits	10.6 サービス提供のメリット
10.7 AI in vulnerability prioritisation	10.7 脆弱性の優先順位付けにおける AI
10.8 Workforce evolution with AI	10.8 AI による労働力の進化
11. Annex: interview & acronyms	11. 附属書：インタビューと略語
11.1 Semi-structured interview	11.1 半構造化インタビュー
11.2 Section 1 - Introduction (EST 5 Mins)	11.2 セクション1 - 序論（推定所要時間 5 分
11.3 Section 2 - Market dynamics & trends (EST 10 Mins)	11.3 セクション2 - 市場動向とトレンド（推定10分）
11.4 Section 3 - Integration of emerging technologies (EST 10 Mins)	11.4 セクション3 - 新興技術の統合（推定10分）
11.5 Section 4 - Investment and acquisitions (EST 10 Mins)	11.5 セクション4 - 投資と買収（推定10分）
11.6 Section 5 - Talent and expertise recruitment (EST 10 Mins)	11.6 セクション5 - 人才と専門知識の採用（推定10分）
11.7 Section 6 - Blurring of sector lines and future implications (EST 10 Mins)	11.7 セクション6 - 業界境界の曖昧化と今後の影響（推定10分）
11.8 Section 7 - Conclusion (EST 5 Mins)	11.8 セクション7 - 結論（推定5分）
11.9 Acronyms	11.9 略語

 

Commercial offensive cyber capabilities: red team subsector focus	商業的攻撃的サイバー能力：レッドチームサブセクターに焦点を当てて
1. Introduction	1. 序論
In December 2024, Prism Infosec were appointed on behalf of the Department for Science, Innovation and Technology (DSIT) to conduct research on how the commercial offensive cyber sector is integrating emerging technologies into their commercial offerings and what the implications are of this integration.	2024年12月、Prism Infosec は、科学技術革新省（DSIT）の委託を受け、商業的攻撃的サイバーセクターが、新興技術を商業的サービスにどのように統合しており、その統合がどのような意味を持つかを調査する研究を実施することになった。
The sector comprises of entities which deliver legal and ethical security testing (commercial red teams), developers who produce the tools and capabilities for the industry, groups who conduct offensive cyber operations on behalf of third parties as a service, usually without their target’s consent, and groups who are contracted by states, entities or individuals who conduct operations on their behalf. Identification and contact details of relevant individuals from each group that comprises the sector was not possible within the available timescales.	この分野は、合法的かつ倫理的なセキュリティテストを行う事業体（商業レッドチーム）、業界向けのツールや機能の開発者、通常、対象者の同意を得ずにサードパーティに代わって攻撃的なサイバー作戦を行うグループ、および国家、事業体、個人から委託を受けて作戦を行うグループで構成されている。この分野を構成する各グループの関係者の特定および連絡先情報の収集は、利用可能な期間内では不可能だった。
As a result, the decision was taken to focus the study on the most readily available segment of the sector for the study – the commercial red teams, who simulate threat actor attacks on clients using similar tools, tactics, methods and procedures. This report therefore is a reflection on how this segment of the sector is integrating and adapting their business models to emerging technologies.	その結果、この調査では、この分野の中で最も調査しやすいセグメント、つまり、同様のツール、戦術、手法、手順を用いて顧客に対する脅威アクターの攻撃をシミュレートする商業レッドチームに焦点を当てることにした。したがって、この報告書は、この分野のセグメントが、新しいテクノロジーにビジネスモデルを統合・適応させている状況を考察したものである。
Prism Infosec were tasked to identify and approach suitable entities to achieve this, with a goal of interviewing between 25 and 30 companies, and conclude reporting by 14 March 2025. 294 entities were approached, and 18 were willing and available to be interviewed within the available period. This paper documents the approach taken to conduct this research and the results obtained from it.	Prism Infosec は、この目的を達成するために、25 社から 30 社の企業をインタビューし、2025 年 3 月 14 日までに報告を完了することを目標として、適切な事業体を特定し、アプローチする任務を負った。294 事業体にアプローチし、そのうち 18 社が、利用可能な期間内にインタビューに応じる意思があり、インタビューが可能だった。本報告書は、この調査の実施方法と、その結果について記載したものである。
2. Executive summary	2. エグゼクティブサマリー
Whilst this study did not achieve the intended number or diversity of entities for desired coverage, it was still possible to obtain a number of valuable insights. This study identified a number of opinions, attitudes, predictions and insights into how the ‘red team’ element of the commercial offensive cyber sector and clients of interviewees are adapting and integrating recent and emerging technologies into their security offerings.	この調査では、対象とする事業体の数や多様性については目標を達成できなかったが、それでも多くの貴重な知見を得ることができた。この調査では、商業的な攻撃型サイバーセクターの「レッドチーム」要素と、インタビュー対象者の顧客が、最新および新興の技術を自社のセキュリティ製品にどのように適応・統合しているかについて、さまざまな意見、姿勢、予測、洞察を明らかにした。
This particular subsector of the commercial offensive cyber industry seeks to emulate what other threat actor groups are doing. They invest heavily in research and development, making use of threat intelligence to ensure that their tools and methods accurately reflect, as much as possible within commercial costs, the capabilities and methodologies of other actors in the sector. This is to help their clients defend against those other actors and threats. Therefore, whilst insights from the other groups are lacking, there will likely be strong parallels for the integration of new technologies into the business of these other segments of the sector.	商業的攻撃的サイバー業界のこの特定のサブセクターは、他の脅威アクターグループが行っていることを模倣しようとしている。彼らは研究開発に多額の投資を行い、脅威インテリジェンスを活用して、自社のツールや手法が、商業的コストの範囲内で可能な限り、このセクターの他のアクターの能力や手法を正確に反映するようにしている。これは、顧客が他のアクターや脅威から防御するのを支援するためのものである。したがって、他のグループに関する洞察が不足しているものの、このセクターの他のセグメントにおける新技術の導入に関する強い類似性が存在する可能性が高いからである。
Some of the more surprising results was the lack of discussion around technologies such as blockchain or cryptocurrencies. Whilst there was significant discussion around the adoption, use and hopes for AI in the industry, interviewees were keen to share insights not just into how their businesses were adapting but also the impact these technologies are having on recruitment, workforce attitudes and planned future expenditure. Regulation’s impact on this element of the sector for delivery of services also featured heavily in discussions with some focus also paid to how regulations will need to adapt to these emerging technologies.	最も意外な結果の一つは、ブロックチェーンや暗号資産に関する議論がほとんどなかった点である。業界におけるAIの採用、活用、将来への期待に関する議論は活発だったが、インタビュー対象者は、自社の適応方法だけでなく、これらの技術が採用、人材の態度、今後の支出計画に与える影響についても積極的に共有した。サービス提供におけるこの分野に対する規制の影響も議論で大きく取り上げられ、これらの新しいテクノロジーに規制がどのように適応すべきかについても注目が集まった。
Whilst AI has generated the most interest and has by far the most investment and expectation for future innovation, recent technology adoption and migration into cloud-based architecture has had a larger impact to services being offered by the commercial red teams. It has provided changes to traditional infrastructure, enforcing development of new tooling and practices as the sector has adapted to how client organisations have migrated into the cloud following the global coronavirus epidemic Covid-19, advancements in detection and response capabilities, changes in real-world threat actor behaviours. Examples include the increased use of ransomware attacks (such as the 2017 Wannacry ransomware attack), and attacks on digital supply chains by suspected nation states during espionage operations and military conflicts (such as the 2020 SolarWinds breach and the 2017 NotPetya attack).	AI が最も関心を呼び、将来のイノベーションに対する投資と期待が圧倒的に高い一方で、最近のテクノロジーの採用とクラウドベースのアーキテクチャへの移行は、商業レッドチームが提供するサービスに大きな影響を与えている。これは、従来のインフラストラクチャに変化をもたらし、世界的なコロナウイルス感染症（COVID-19）の流行、検知および対応能力の進歩、現実世界の脅威アクターの行動の変化に伴い、顧客組織がクラウドに移行する傾向に対応するため、新しいツールやプラクティスの開発を推進している。具体的な例としては、ランサムウェア攻撃の増加（2017年のWannaCryランサムウェア攻撃など）や、諜報活動や軍事衝突における国家が関与するとされるデジタルサプライチェーンへの攻撃（2020年のSolarWinds侵害や2017年のNotPetya攻撃など）が挙げられる。
Interestingly, topics such as quantum computing were still considered to be too abstract and only viable for laboratory settings, and therefore the impact to the industry has yet to be fully, or even partially, realised. Instead, more effort was being focused on exploring environments that were previously considered to be too risky to test, such as those containing operational technology or automated vehicles, which includes land, air and sea assets alongside unmanned drones.	興味深いことに、量子コンピューティングのようなテーマは依然として抽象的すぎるとされ、実験室環境以外での実用性は限定的とされ、業界への影響は未だに完全に、または部分的にも実現されていない。代わりに、従来はリスクが高すぎてテストできなかった環境、例えばOTや自動運転車両を含む陸上、空中、海上資産、無人ドローンなどへの取り組みが強化されている。
Another area of interest was the lack of capability for alternative operating system environments. It was felt that investment into developing offensive cyber tools and capabilities for MacOS, Linux, Unix, Android, iOS, etc. had lagged significantly behind Microsoft Windows estates, in part due to the prevalence of that operating system in wider society. As a result, the lack of published research and tools into these was seen as having a hampering effect for using technologies like AI to be used to help develop new capabilities.	もう一つの注目点は、代替オペレーティングシステム環境の能力不足だった。MacOS、Linux、Unix、Android、iOSなどに対する攻撃用サイバーツールや能力の開発投資が、マイクロソフトWindows環境に比べて大幅に遅れていると指摘された。これは、そのオペレーティングシステムが社会全体で広く普及していることが一因である。その結果、これらの分野に関する公開された研究やツールの不足が、AIを活用して新たな能力を開発する際に障害となっていると指摘された。
Overwhelmingly, our interviews demonstrated the sector remains deeply sceptical of the promises of AI, considering many of its capabilities overstated and overused in products, creating a confused environment as to its true potential and capabilities. It was perceived that the most common use by threat actors for AI at this time was to deliver more sophisticated social engineering attacks. Aside from the ethical issues of such use, interviewees highlighted risks of data privacy, large costs, and the security of public models as reasons for hampering widescale adoption of the technology in their current offerings.	インタビューでは、業界がAIの約束に対して深く懐疑的であることが圧倒的に示された。多くの能力が製品で過大評価され、過剰に使用されているため、その真の潜在能力と能力に関する混乱した環境が生まれていると指摘された。現時点では、脅威アクターが AI を最もよく利用しているのは、より洗練されたソーシャルエンジニアリング攻撃を行うためであると認識されていた。このような利用に関する倫理的な問題とは別に、インタビューの回答者は、データ・プライバシー、多額のコスト、および公開モデルのセキュリティを、現在の製品におけるこのテクノロジーの広範な採用を妨げる理由として挙げた。
There was optimism that in time these factors would be addressed by more accessible models which can be hosted and tuned privately by cyber security firms and then used for a variety of commercial offerings from attack surface monitoring through to vulnerability research and prioritisation. Until the technology reaches this level of maturity however, the red team element of the sector will continue to focus on the manual specialised human efforts for the delivery of commercial offensive cyber services.	しかし、サイバーセキュリティ企業が独自にホストおよび調整できる、よりアクセスしやすいモデルが開発され、攻撃面のモニタリングから脆弱性の調査および優先順位付けに至るまで、さまざまな商用サービスに活用されるようになれば、これらの要因は徐々に解消されるだろうという楽観的な見方も示された。しかし、この技術が成熟するまでは、この分野のレッドチームは、商用攻撃型サイバーサービスの提供において、手作業による専門的な人的作業に引き続き注力していくだろう。