2023年2月10日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの郡です。2022年12月16日、安保3文書が閣議決定され [1] 、その内容が注目を集めました。サイバーの分野では、国家安全保障戦略にて「能動的サイバー防御」の導入が宣言され、攻撃者のサーバ等への侵入・無効化を可能にするよう整備を進めるとされています。ただし、この言葉の定義はこの文書では記載されておらず、具体的な活動についても触れられていません。今回は、「能動的サイバー防御」について考えていきたいと思います。

「能動的サイバー防御」とActive Cyber Defense

安保3文書公開前の段階では、「積極的サイバー防御」という名前で導入が検討されていることが報道 [2] されていました。後にこれは「能動的サイバー防御」という用語に変更になったようです [3] 。「積極的」が攻撃的なニュアンスを想起させることを懸念したと思われますが、英語文書では変わらずActive Cyber Defenseという記載なので、日本国内向けの説明と考えてよさそうです。「能動的」という単語がサイバー以外のパートでも意識的に使用されていることから、そこに表現を合わせたのかもしれません。ただし、後述するように、名前にこだわる大きな意味はないとも考えています。
過去のブログ記事 [4] でも取り上げた点ですが、サイバーセキュリティ分野におけるActiveは、Passiveとの対比としての意味が大きく、基本的にOffenseの意味合いは含んでいないことがほとんどです。FWやIDSのような待ち受ける防御だけでなく、ログ探査やマルウェアハンティングなど、より能動的・積極的な防御を指していることは、紹介した事例で見たとおりでした。(この用語使用の混乱は、JPCERT/CCの佐々木氏がブログ [5] やJSAC2023の講演 [6] で解説されています。) 単純化して現実世界の防犯に置き換えると、入退場ゲートや監視カメラを設置するだけでなく、盗聴器を仕掛けられている前提で建物内を調査する、最新の犯罪手法を学んで防犯の穴を探す、といったところでしょうか。

ただし、このActiveのイメージから来る混乱は日本に限った話ではなく、NCSCの施策としてACDを実施しているイギリスでも同様の混乱があるらしく、Activeという用語を使用しない方がよかったかもしれないという話を聞いたことがあります。なお、イギリスはActiveとOffenseを明確に分離しています。

改めて、国家安全保障戦略の文言を見てみましょう。

第一に挙げられているのは、欧米主要国と比較して遅れているサイバーセキュリティ能力を向上させることです。「能動的サイバー防御」は"その上で"とされており、優先順位はやや劣るような書きぶりです。これはある意味当然のことで、以前指摘した通り、Offenseに近づくにつれ費用対効果のバランスが悪くなっていくことを考えると、地固めが最優先となるでしょう。

"武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合"の条件が特に重要な点で、グレーゾーンのサイバー領域を扱っていくという姿勢を表していると思われます。ロシア・ウクライナ戦争の文脈から、戦時のサイバー攻撃への対処が論じられることも多いですが、すでに武力攻撃による防衛出動に突入し、武器使用が許可されるような事態にあっては、より低強度なサイバー攻撃が許可されないとは考えにくく、やはりグレーゾーンにどう対処するかが重要な点であると考えています。グレーゾーンの分類に関しては、弁護士の高橋先生などが言及されているため [7] 、そちらを参照ください。

個別の条件を見てみます。(ア)に関しては、現在NISCが行っている業務をより拡大させることに加え、日本で課題となっているサイバー攻撃情報(脅威情報)の共有の解決を目指すように思われます。脅威情報の共有については、JPCERT/CCがブログ記事 [8] を出している他、総務省もパブリックコメントを募集 [9] するなど、行政の課題感として共有されているようです。(イ)に関しては、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」で、ISPによる悪性C2サーバ情報共有が通信の秘密を侵害しないという見解 [10] が示されています。以前からの検討内容を改めて記載するとともに、将来的にこの活動をより発展させたいという意図と思われます。この種の取り組みとしては、NOTICEが既に実施されていることもあり、意外とハードルは高くないかもしれません。(ウ)に関しては、"可能な限り未然に攻撃者のサーバ等への侵入・無害化"という記述が気になる点です。サイバー攻撃者からの攻撃に対して反撃するHack Backが例としてよく議論されていますが、この表現は米国が行っているDefend Forwardにより近い印象を受けます。Defend Forwardについてはこの次のセクションで簡単に紹介します。

司令塔に関しては、NISCを発展的解消して新たな一元組織を設置するようです。この点は以前より報道 [11] されており、内閣官房の下に設置するとされています。1月31日には、準備室を内閣官房に立ち上げたことも報道されました [12] 。内閣府にインテリジェンス組織の情報を取りまとめる内閣情報調査室や国家安全保障局があること、Offenseなサイバーセキュリティは政治的判断が求められる(100%絶対確実なアトリビューションは基本存在しない)ことを考慮すると、そこまで違和感のない流れのように思われます。「能動的サイバー防御」は自衛隊のみに着目するような報道が目立ちますが、国家安全保障戦略の記述や各種報道、国家防衛戦略の記述"サイバー領域では、防衛省・自衛隊において、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していくこととする。"から、内閣府のインテリジェンス組織がその任務を実施する可能性を個人的には考えています。なお、報道では自衛隊や警察庁の実働部隊を指揮すると記載されていますが、指揮権に関して組織体制や法体系に課題があるように思われ、どのような形態を想定しているのかを注目しています。

ここまで見た通り、「能動的サイバー防御」は、既に実施済みの施策の発展と、新たな施策の検討が混じっており、ここは分離して議論する必要がありそうです。

Defend Forwardやその他米国の事例

Defend Forwardは、2018年に米国防総省サイバー戦略で示された考え方 [13] で、サイバー空間の脅威に対してより積極的に防御を行うものです。一歩踏み込んだ防御とも呼ばれます。簡単に説明すると、悪意あるサイバー攻撃活動を初期段階で積極的に妨害・阻止することで、攻撃者側のコストを上昇させ、結果として攻撃を緩和させる取り組みです。攻撃者側の攻撃準備が整いきる前に妨害できれば、攻撃者側は少ないリターンで攻撃を諦めるしかありません。当然この種の活動は他国資産に介入する可能性があるため、米国サイバー軍はパートナー国との連携・当該国からの活動招待をアピール [14]しています。直近の事例では、ウクライナとの連携を明言 [15]し、ロシアへのサイバー攻撃を否定していません [16]。ロシア・ウクライナ戦争に直接不介入方針の米国も、物理被害の発生しないサイバー攻撃は戦争行為にあたらないと判断 [17]しているようです。話をパートナー国との連携に戻すと、全ての国からの協力が得られるかというと難しいと考えられますが、この点は物理世界の考え方 [18] をサイバー領域にも拡張したような運用をしていると思われます。
補足として、米国サイバー軍は設立時から司令官がNSA長官と兼任で任命されており、インテリジェンス組織であるNSAからのフィードバックを受けつつ体制を強化してきた経緯があります。

Defend Forwardの紹介をしたので、米国のその他の活動にも触れておくと、近年米国などによるテイクダウンの実施が目立ちます。2022年にはロシアのボットネットを解体したとの発表もありました。この事例においては、何故か米国がボットネットの構成マシン数千台をハッキングしたかのような報道やSNS上でのコメントが見られましたが、司法省がC2サーバに限定した作戦だったと発表 [19] しています。また、いきなり司法手続きを行った訳でなく、攻撃手法の公開をまず行い、次に感染マシンを所有している人物への連絡を行ったことが報道 [20] されています。この段階に至っても約1割の感染マシンが残ったため、最後の手段として司法手続きによるオペレーションを行ったとのことです。このように、Offenseなサイバーセキュリティ防御を最も積極的に行っていると思われる米国でも、それなりの段階や手続きを経ているようです。無論、例外事例は存在していると思われます。

定義をどうするのか

ここまで国家安全保障戦略のサイバーセキュリティ部分の紹介や、「能動的サイバー防御」の一部がDefend Forwardに近い考え方ではないか、インテリジェンス組織に任務を与えるのではないかといった考察をしてきました。現状、この答え合わせを行うことは出来ません。明確な定義が示されていないためです。冒頭で名前の意味がないと述べたのはこのためで、定義が決まっていれば名前が変わっても実質的な変化は少ないですが、定義が決まっていないのに名前の議論をしても無意味だからです。
定義にあたり、いくつか重要なポイントがあると思われますが、やはり気になるのはOffenseをどう扱うのかです。米英はActiveとOffenseを分離していますが、日本としては同一線上で議論するといった考え方ももちろん存在するでしょう。また、アトリビューションをどう扱うのかといった点も気になるところです。高度な攻撃能力を持ったハッカーを揃えても、対象を判定する能力を持たなければ意味がありません。

施策評価の難しさ

定義や能力、組織を整えたとして、最後に気になる点が施策評価の難しさです。前述したとおり、Offenseな防御は費用対効果が比較的よくないので、効率的に能力を投入する必要があります。場当たり的な対応を避けるには、施策の評価を行うことが必須ですが、このとき問題になるのが効果測定です。攻撃の妨害によってどの程度の被害が防止出来たのか、仮に妨害が出来ていればどこまで被害を緩和可能だったのかなど、複数の評価軸が考えられますが、Offenseな防御はこの測定が非常に難しいのです。何しろ、理想的な状態では攻撃は発生しないのですから。このような抑止は実施から10年以上経過してから効果が判明することもあるため、短期的・長期的両方の観察も必要であることを考えると、評価体制もそれなりのものを用意しなくてはなりません。過去の施策の評価や体制見直しは組織の永遠の課題の一つですが、「能動的サイバー防御」でも避けられない議論です。

おわりに

今回は「能動的サイバー防御」に関して個人的な見解をいくつか述べました。ずっと括弧付きで言及していたのは、この言葉の定義が存在しないためです。ただ、この点は悲観することばかりでなく、多数の識者が指摘している通り、日本の環境に沿った定義の策定を行うことで、より有用な概念の導入に繋がると私も考えています。もちろん、議論が混乱して有名無実な定義や戦略が出来上がる可能性もあります。多分に政治マターになっているため、何となく関与を避けているセキュリティ関係者も多いと思いますが、国家のセキュリティ戦略は、日本国内の企業や個人にも大きな影響を与えますので、是非活発に議論できればと考えています。

参照文献

執筆者の他の記事を読む