「能動的サイバー防御」(もしくは「積極的サイバー防御」)とは、サイバー攻撃を受ける前に攻撃者の情報を収集したり、ネットワークを監視したりして、攻撃からシステムを守ることを言う。新型コロナウイルス禍やロシアによるウクライナへの侵攻を背景に、政府機関や重要インフラ企業を標的としたサイバー攻撃が増加していることを受け、各国で導入に向けた議論が進んでいる。
能動的サイバー防御という言葉については、必ずしも定まった定義があるわけではない。中でも、攻撃元のシステムへの侵入や先制攻撃をどの程度含めるかについては議論が分かれている。例えば、米国防総省が2011年のサイバー戦略文書の中で提唱した「アクティブ・サイバー・ディフェンス」には先制攻撃の概念は含まれていない。だが、近年はサイバー攻撃の高度化・多様化により、被害を受ける前に手を打たなければシステムを守り切れないという考え方が広まっている。
能動的サイバー防御の手法を具体的に言えば、①脅威情報を収集し、国家間や関係者間で共有する ②サイバー攻撃を検知し、攻撃元を監視したり通信を遮断す ③おとり装置(ハニーポット)のような偽のシステムを用意して、実際のシステムを攻撃するためにかかる手間を増やさせる(コストをかけさせる)―などである。より攻撃的な手法として、攻撃元に対してDDoS(分散型サービス拒否)攻撃を仕掛けてサーバーを使用不可能にしたり、攻撃元をハッキングしたりするといったことも考えられている。
サイバー攻撃の現状
現代のサイバー攻撃は多様化しており、個人的ないたずらから国家安全保障レベルまで様々なものがある。特にAPT(Advanced Persistent Threat)攻撃は、特定の組織や個人を狙った長期間にわたる巧妙なサイバー攻撃の一種で、通常のサイバー攻撃とは異なり、以下の特徴を持っている。
① 特定の標的を持ち、情報窃取や知的財産の窃取を目的とする。
② 高度な技術を用いて行われ、検知や防御が難しい。
③ 初期侵入後も潜伏し、継続的に攻撃を行う。
APT攻撃の手法は進歩を続けており、例えば、APT攻撃に使われるマルウェアの中には、頻繁に更新されて洗練され、発見が困難になる仕組みが追加されてきたものもある。さらに問題なのは、高度化された攻撃ツールを誰でも入手できるようになったことである。以前は、APT攻撃を実行できるのは、そのための技術やツールを有する限られた人物や組織だけであった。例えば国家機関の影響下の組織、もしくは資金豊富で高度な技術を持つハッカー集団であったが、今は、一般の個人でもサブスクリプションによってハッカー集団に代替してもらい、高度なAPT攻撃を実行できるようになっている。
APT攻撃に対する多層防御の必要性
APT攻撃に対抗するためには、多層な対策が必要であり、技術的対策と人的対策の両面からアプローチすることが重要である。
サイバーの攻撃手口は日々進歩しており、単一の防御だけでは対策が困難であり、セキュリティ対策では多層防御が理想的である。主に以下の3つの防御方法がある。
① 入口/侵入対策
IDS/IPSやファイアウォールなど、内部ネットワークへの攻撃者の侵入を防ぐ対策を行う。
② 内部/拡大対策
内部ネットワークに侵入した場合の被害を最小限に抑えるための対策を行う。
③ 出口/漏洩対策
データの暗号化など、外部への情報漏洩を防ぐ対策を行う。
そのためには、第1に「ソリューション・ツールの導入」である。標的型攻撃対策ソリューションを導入して、入口から出口まで総合的なセキュリティ機能を提供し、潜在的な脅威を察知できるツールを使う。
第2に「セキュリティ監視と脅威インテリジェンス」が必要である。継続的なセキュリティ監視を行い、異常な動きを早期に検知できる体制を整備すべきである。
これらの対策を講じることで、APT攻撃のリスクを最小限に抑え、組織の情報資産を守ることが可能となる。
能動的サイバー防御実施に向けた問題点
日本政府は「能動的サイバー防御」を国家安全保障戦略の一環として位置づけている。日本では、2022年12月16日に政府が閣議決定した「国家安全保障戦略」の中で導入する旨を明記し、2023年1月31日には内閣官房にサイバー安全保障体制整備準備室を設置した。
能動的サイバー防御へのニーズや期待が高まる一方で、攻撃元の情報を収集・監視したりシステムに侵入したりする行為は、日本では憲法第21条にて「通信の秘密」が保障されているため、通信を監視することは憲法違反と見なされる恐れがある。
また、攻撃元の情報を収集する過程で個人情報が含まれる情報を入手した場合、日本の「個人情報保護法」や諸外国の「プライバシー保護法」に抵触する恐れがある。
攻撃者のサーバーへの侵入についても、日本では「不正アクセス禁止法」によって、管理者に無断でシステムに侵入することが禁じられている。
現在のところ、自衛隊が能動的サイバー防御の主体となる方針だが、自衛隊法の管轄範囲では、民間人や企業のサイバー防御を担う根拠に乏しく、自衛隊法の改正が必要だ。
能動的サイバー防御は、防御のために先手を打つというセキュリティ対策であり、そのため、実際に能動的サイバー防御を実行しようとした場合、逆に防御側が法令違反を犯す可能性が高い。広範な法改正が必要であり、実施までのしっかりしたロードマップ策定が重要である。
《参考資料》
1、「事前の情報収集や監視で攻撃を妨害、『能動的サイバー防御』とは」日経XTECH、2023年2月10日。
2,日経XTECH、2023年2月10日、日経XTECH、2023年2月10日。