研究会当日の活動内容
トレンドマイクロ・サイバーセキュリティ・イノベーション研究所は、「アクティブ・サイバー・ディフェンス」の定義の再確認や抱える課題について研究員による調査結果を発表し、外部有識者とともに議論を行いました。
第四回研究会の総括
「アクティブ・サイバー・ディフェンス」や「積極的サイバー防衛」という用語を頻繁に聞くようになった反面、概念や定義が話し手によって異なることに触れ、本研究会では概念の再確認を行いました。また、これを理解するために必要となる「インテリジェンス」の定義やその活用、「攻撃的サイバー作戦」等にも話題を広げ、包括的にアクティブ・サイバー・ディフェンスの理解を進めるための場として議題を設定しました。
研究発表および有識者とのディスカッションを通じて、「アクティブディフェンス」、「インテリジェンス」、「攻撃的サイバー作戦」等の用語についての共通認識を醸成していく必要があることが再認識されました。そして、日本のセキュリティ水準を上げていくにあたり、いくつかの課題も浮き彫りとなりました。プライバシーやセキュリティクリアランスの整備不足などにより、インテリジェンスの共有(Need to share)が浸透しづらいこと、また、日本の制度・組織を守るために「まず何を守らなければならないのか」が明確に描けておらず、このため必要とされるインテリジェンスも不明瞭という、課題が指摘されました。さらに、反撃を行うにあたっては、戦略的・法的・組織的な観点から乗り越えるべき様々な制約があるという課題も提起されました。民間・国家それぞれができる課題に取り組むことで、日本のセキュリティレベル・防衛力を高めていくことが必要であるということを共通認識としました。
第四回研究会の開催内容
トレンドマイクロ・サイバーセキュリティ・イノベーション研究所では2023年1月24日に外部有識者にご参加いただき「『アクティブ・サイバー・ディフェンス』について考える~企業のセキュリティ成熟度と目指すべき姿~」というテーマで研究会を開催いたしました。研究会には、国立研究開発法人 情報通信研究機構主席研究員・元陸上自衛隊システム防護隊長の伊東寛様、元防衛副大臣の中山泰秀様、初代インターポールIGCI総局長の中谷昇様にご参加いただきました。
本研究会は、同研究所の目的である、長期的展望にたったサイバーセキュリティにおける課題を外部有識者の皆様をお招きして議論し、日本の組織や関係業界に向け、課題に対する方向性を見出していく「場」とすることを目指しています。各テーマに対して、あらかじめ研究員が独自に内外の情報を調査・分析した結果を共有し、その内容を有識者の方々と議論するパネルディスカッション形式で実施しています。
アジェンダ:
・アクティブ・サイバー・ディフェンスとは~議論のための共通認識~
・インテリジェンスとは
・アクティブ・サイバー・ディフェンスにおけるインテリジェンスの活用
・攻撃的サイバー作戦・能力に関する議論
冒頭でトレンドマイクロ株式会社取締役副社長大三川彰彦から開会の挨拶、続いてサイバーセキュリティ・イノベーション研究所長飯田朝洋より挨拶があり、その後各アジェンダについて各研究員によるプレゼンテーションおよび有識者によるディスカッションが行われました。
以下、実際の研究発表および有識者ディスカッションの内容を総括したものとなります。
アクティブ・サイバー・ディフェンスとは~議論のための共通認識~
最初のアジェンダについて石原陽平研究員からプレゼンテーションが行われました。
石原研究員は、本研究会のキーワードである「アクティブ・サイバー・ディフェンス」について用語の定義が一律ではないという問題を提起しました。様々な機関による定義を引用したうえで、総括すると、①防御的な活動であり、②高度なインシデント対応プロセスであるという共通項が見えることを指摘した。一方この用語から「サイバー」を取り除いた「アクティブディフェンス」という軍事用語も存在することに触れ、こちらはハックバック(Hack Back)やCyberspace Operation(SCO)に近いものであり、「アクティブ・“サイバー”・ディフェンス」とは全く異なる意味合いとなることにも触れました。
このような定義のゆれがあることを踏まえたうえで、研究会ではSANS InstituteのThe Sliding Scale of Cyber Securityの定義をベースに進めていくことを提案しました。なお、SANSのスケールでは成熟度中央(画像の黄色のレベル)はActive Defenseと表記されているが、内容を見るとアクティブ・サイバー・ディフェンスを指していると考えられるため、資料の表記はActive DefenseをActive Cyber Defense/アクティブ・サイバー・ディフェンスに置き換えたものを使用しています。
この石原研究員による用語の定義について、認識のギャップがあるかどうかについて有識者に問いかけがされました。軍事用語での「ディフェンス」は、何らかの方法で敵の攻撃を阻止、破砕できた段階で防御の目的を達成したことになる一方、「アクティブディフェンス」では、敵そのものに対して打撃を与え、その成果として敵の攻撃を阻止し防御の目的を達成するものであるとご指摘がありました。また、「アクティブディフェンス」という軍事用語に「サイバー」と付け加えるだけで、意味が大きく変わってしまうことが多くの人の混乱を招いている可能性があり、用語の見直しや再定義が行われると望ましいという問題提起もありました。
引用したSANS InstituteのThe Sliding Scale of Cyber Securityに関するコメントとしては、立場によって見方が変わってくるものであり、重心をどこに置くのか、主体的にどうあるべきなのか、という視点に合わせて変わってくるものだというご意見があがりました。また、「Intelligence」のフェーズは民間単独で成しえることが難しいため、国がインテリジェンス機能を有することで、国家主導で介入して進めていくことがポイントになりそうだというご意見もいただきました。
インテリジェンスとは
続いて、上田勇貴研究員よりプレゼンテーションが行われました。
上田研究員はまず、「インテリジェンス」という用語についても定義のブレが存在していることを指摘し、議論に入る前に、共通認識を持つことを提案しました。複数の定義を総括すると、インテリジェンスとは「意思決定を支援するために実施される情報収集・分析活動」のことであるといえるのではないかと結論づけました。加えて、「何らかの目的がある」ことが重要なポイントであり、目的無くしてインテリジェンスは存在し得ないことを主張しました。例えるならば、旅行の行先を2つの候補から選ぶこと(=意思決定)を目的とした場合、必要なコストや観光地などの情報を収集し分析したうえで旅行先を決定するだろうとし、このような意思決定を支援するために行われる情報収集・分析活動がインテリジェンスであると示しました。
サイバーセキュリティにおいては、インシデントの未然防止や影響の最小化などのリスク低減が主目的となります。そのために実施されるインテリジェンスは、組織/役割/フェーズに応じあり方は様々であることを示し、役割や目的の例として、英国Centre for the Protection of National Infrastructure(CPNI)のThreat Intelligence:Collecting, Analyzing, Evaluatingの図を引用しました。レベルと期間の軸で四象限に分けた上で、インテリジェンスの目的を①ストラテジック(=セキュリティ投資などの経営戦略)、②タクティカル(=実際の攻撃に対する手法の対策など実践的な手段)、③オペレーショナル(=SOC/IRの“責任者”レベルで差し迫った攻撃に対する情報)、④テクニカル(=SOC/IRの“運用現場”レベルの活動に必要な情報。IoC:Indicators of Compromise等)の分け方を一例として紹介して締めくくりました。
その後のディスカッションでは、まず上田研究員がまとめたインテリジェンスの定義について認識齟齬があるかどうかを伺ったところ、おおむね相違ないというご意見をいただきました。特に「意思決定に資する」という点が重要であることを再確認しました。資料に含まれなかった点として、インテリジェンスには鮮度があり、取得した情報をスピーディに分析、共有、反応する流れに沿って取り扱うことが重要である点も補足いただきました。
サイバーセキュリティにおけるスレットインテリジェンスの一例として引用したCPNIの四象限に関してもいくつかご意見をいただきました。まず、CPNI の用語の並びは、上から戦略(ストラテジック)、作戦(オペレーショナル)、戦術(タクティカル)、戦技(テクニカル)とする軍隊の考え方とは異なる並び順となっている点について指摘をいただきました。民間企業においてはLow levelにあたるタクティカルやテクニカルなインテリジェンスはある程度得られるとした一方で、High levelなインテリジェンス(特にストラテジック)を得るためには、マイクロソフトやGoogle等が抱える調査グループのような大規模で高度なセキュリティ体制の構築や、他三象限の十分なインテリジェンス能力が必要ではないかという見解をいただきました。また、SOCやCSIRTは自社が狙われているとインテリジェンスを共有できる関係を同業他社と構築したり、JC3のような組織と連携したりすることが有用であろうと見解をいただきました。加えて、インテリジェンスを活用し、より高い事案対処能力を民間企業が得るためには、民間企業では実施できないテイクダウン等を行う法執行機関と連携していくことなどが今後の取り組むべきポイントであるということで議論は締めくくられました。
次に、具体的な活用方法の例として、VPNゲートウェイ機器の脆弱性の例を引用しました。脆弱性のCVSSのような表面的な情報だけではなく、「この脆弱性を使うことで何ができるのか?」「どのような情報が持ち出されてしまう可能性があるのか?」などの深層まで分析することで、判断材料としての根拠を強めることができることを提示しました。その後具体的に、4つのケース(Emotetの例、レポート情報を用いた例、情報分析基盤(SIEM/OpenCTI等)を用いた例、クレデンシャル情報漏洩の例)を紹介しました。
総括すると、インテリジェンスの活用においては「目的」が大切であることが大前提です。サイバーセキュリティにおいて「何らかの製品を入れれば完璧に防御できる」ということは絶対になく、インテリジェンスを活用した人的な介入・チューニング・監視が必要となる点を強調しました。また、個々の組織に閉じて活用するだけではなく、Need to shareの概念に沿ったインテリジェンスの提供を行う重要性を提案し、締めくくりました。
その後のディスカッションでは、まず初めに、「情報共有に関する日本の課題」について意見を求めたところ、最大の課題として「トラスト&プライバシー」が挙げられました。日本ではISACなどの情報共有の取り組みは10年以上前から行われていますが、「情報は欲しがるが自社の情報は明かさない」スタンスの参加者が多いという問題があるということです。このような状況になる原因としては、コミュニティ参加者が「お互い信頼しきれていない」というクリアランスの問題が根深いのではないか、ということが指摘されました。世界全体の傾向としてはデータ保護主義の傾向はより一層強まっており、機密情報共有の際のセキュリティクリアランスが必須となっています。世界を見れば、クリアランスを有している、つまり信頼に値する人物であるということが証明される仕組みの整備が進んでいます。日本にはそれがなく、インテリジェンスの重要性は認識されていますが、「プライバシーの懸念」や「クリアランス制度がないこと」から、情報共有が促進されない状況に陥っています。このような課題を解決し、「お互いを信頼して情報共有できる」ことを目指すことが必要であることが改めて再確認されました。
攻撃的サイバー作戦・能力に関する議論
最後に標的型攻撃に関するリサーチを日々行っている庄子正洋研究員より、オフェンスについての研究発表が行われました。
庄子研究員は、始めに国家が関与するサイバー攻撃について、「サイバー諜報活動」・「サイバー作戦」・「その他(金銭目的の攻撃、影響力工作など)」と分類しました。さらに、サイバー作戦については、主にサイバー手法を用いた破壊的な活動であると定義づけられていることを紹介しました。そのうえで、「攻撃的サイバー作戦」については、「戦略的目標達成のために行われる、技術・技能・組織的プロセスを結集した一連の連携活動」であるとし、また「攻撃的サイバー能力」とは武器やツール自体を指すのではなくではなく、「サイバー作戦を実行する行為者の“能力”」であるとする考え方を紹介しました。
庄子研究員は、サイバーに関する「オフェンス」を行っている組織の例としてオランダのJoint Sigint Cyber Unit(JSCU)を取り上げました。当該組織では、ロシア背景の攻撃者であるCozy Bear(APT29)が使用する端末へ侵入・情報収集し、これをアメリカへ共有するというサイバー諜報活動を行っていました。一方、攻撃的サイバー作戦については、実施に至るまでに様々な制約があることを指摘しました。制約の例として、他の手段・手法に対する優位性が計りにくく、副作用を招く可能性もあるという戦略的制約、国際法・国際慣習などに準じる必要があるという法的・規約的制約、省庁間の調整や手続きの煩雑さ・難しさが生じるという組織的制約などがあるとしました。
発表を通じて、攻撃的サイバー作戦の多くの課題が明らかになりました。そもそも「なぜ、なんのために、どのような活動を行うのか」という前提の共通認識や定義が醸成されていないことや、作戦を実行するまでの前段の整理ができていないこと、法的な制約があること、実際に攻撃するにあたってプロセスやインフラを整える必要があることなど様々な課題が浮き彫りとなりました。
その後のディスカッションでは、まず始めに、「オフェンスにおける日本の課題について」ご意見をいただきました。1つの課題として、オフェンスについて議論する際に、「何を目的とするか」を論じる前にハッキングの手法等の細かな点から論じてしまう傾向があることを指摘いただきました。この原因として、国家のトップ層が日本の制度・組織を守るために、「まず何を守らなければならないのか」が明確に描けていないことが原因だとしました。例えば電力会社であれば、個人情報漏洩よりも「電力インフラが止まらない」ことがまず最優先課題といえます。このようにトップが「守るべきもの」を明確に描いたうえで、「その状況判断のためにどのようなインテリジェンスが必要となるのか」を認知している状況が望ましいというご意見をいただきました。
また、軍事的な観点から、情報収集・攻撃・防御を明確に切り分けて話すべきであるというご指摘もいただきました。現状の表現の場合、「サイバー攻撃」という用語の中に情報収集も含まれてしまうことがあるため、サイバー“攻撃”ではなくサイバー“活動”と表現したうえで、その中に情報収集・攻撃・防御が含まれる、という関係性に整理するとよいのではないかというご提案もいただきました。議論は、昨今日本でも防衛予算が引き上げとなった件に関連して、国家の防衛予算の話に移りました。イスラエルでは防衛予算をGDPの4%、教育費をGDPの7%充てており、さらに小学校3年生から18歳までサイバーセキュリティ教育が義務化されていることに触れ、日本でも国民的意識の底上げや、教育機関を作っていくことでサイバーセキュリティ人財を増やしていくことが必要であるというご意見があがりまし。その他、”秘密”の定義についてもう少し明確にすべき、自動化による省力化・効率化の必要性などについてコメントがありましたを。
最後に、海外で行われている法執行機関が犯罪者のインフラをテイクダウンするようなオペレーションについて、日本で実現するにはどうしたらよいか、という観点について議論が交わされました。これについては、攻撃者のアトリビューション(=帰属、出自)がポイントになるというご意見をいただきました。軍事行動とは異なり、サイバー攻撃は「誰が攻撃しているか」が分からないことが多いため、攻撃元の特定に限界があります。この判断根拠を集めるために、国家主導の常時モニタリングなどシームレス・スケーラブル・ストラテジックな体制を築くことが必要であるとご指摘をいただきました。
サイバーセキュリティ・イノベーション研究所
2021年に、セキュリティイノベーションを推進する組織として設立。トレンドマイクロの製品・サービスの安全性を評価する「トランスペアレンシー・センター」、日本国内の個人や法人組織を狙う高度なサイバー攻撃などに関する情報を発信し対策支援を行う「スレット・インテリジェンス・センター」、セキュリティ人材の育成を支援する「セキュリティ・ナレッジ&エデュケーション・センター」を中核として、法人組織のセキュリティイノベーション推進を支援。
Security GO新着記事
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月11日)
委託先へのサイバー攻撃、どう防ぐ
(2024年10月9日)
能動的サイバー防御とは?日本でも必要性が高まる理由を解説
(2024年10月9日)