Active Cyber Defense (能動的サイバー防御)について

攻撃者が圧倒的に優位で防御側のコントロールが困難な問題に対して向き合う Active Cyber Difense (能動的サイバー防御)、そこには行為を通して自ら環境を創造し、同時にその環境が人々を創造する相互規定的な関係である Sensemaking といった概念が重要になってくると思います。

  • Enactment:周囲からヒントを得て認識するプロセス
  • Selection:行動を決定するために、主観的な意味を見出し選択するプロセス
  • Retention:ナレッジを蓄積して、今後の選択と行動の指針となるもの

Active Cyber Defense (ACD)は、国防総省(DoD)のディフェンシブ・サイバー・オペレーションに対するアプローチの一つである。ACDは、国防総省とインテリジェンス・コミュニティのためのディフェンシブ・サイバー・セキュリティ能力の強化にとどまりません。ACDで定義された能力とプロセスは、連邦、州、および地方の政府機関および組織、防衛請負業者、重要インフラストラクチャー部門、および産業をサポートするために用いることができます。脅威情報分析、サイバー活動アラート、レスポンスアクションを迅速かつ自動的に共有・評価する能力は、高度なサイバー攻撃の検出と防御を成し遂げるための取り組みを一元化するために重要です。

National Security Agency | Active Cyber Defense (ACD) *ATTENTION – As of 24 February 2022, all users must install a DoD Root Certificate in their browser in order to access this website.

Active Cyber Defense のフレームワークと原則
本論文では、アクティブおよびパッシブな防空・ミサイル防衛の概念を概観し、それらをサイバースペースに適用し、様々なタイプのActive Cyber Defenseを区別するための枠組みを説明し、最後にActive Cyber Defenseを行うための法的・倫理的原則を示唆する。

Framework and Principles for Active Cyber Defense | 海軍大学院大学 2013年12月, Denning, Dorothy E.

なぜActive Cyber Defense(能動的サイバー防御)が必要なのか?

2000年から2014年にかけて、世界のインターネット利用は741%増加し、3億6000万人から約35億人へと増加しました 。 米国の重要インフラのセキュリティと運営は、破壊とエクスプロイトに対して脆弱な恐れのあるサイバースペース上の産業用制御システムおよび情報技術に依存しています。 そして、国防総省と国家は、基本的な自由、プライバシー、自由な情報の流通を保護する安全で信頼できるサイバースペースに依存しています。

私たちのネットワークとデータは、さまざまな脅威から継続的にサイバーセキュリティの攻撃を受けています。 これらの敵対勢力に対する効果的な防御には、何千ものエンドコンポーネントとネットワークシステム、複数の組織プロセス、多様なドメイン内およびドメイン間での複雑な対応行動の選択、解除、実行をほぼリアルタイムでオーケストレーションすることが必要です。 今日、このようなオーケストレーションは、複数のインプットを関連付け、一連の対処を指示するために、主に手作業で、人間が介入するプロセスになっています。 このプロセスでは、高度なサイバー脅威の存在下で作戦を成功させるために必要なスピード、アジャイル、コントロールを提供することはできません。 ACDフレームワークを導入することで、セキュアオーケストレーションは、ネットワークやサイバーセキュリティのイベントへの対処方法を選択し、指示し、追跡するための自動化されたヒューマンインザループ (HITL) 機能を提供することになります。

セキュアオーケストレーションとは、ACD運用の統合、同期、自動化を指し、意思決定、行動、ACDミッションマネジメントの要素を含んでいます。 C2メッセージングは、簡潔な標準メッセージの交換により、 cyber-relevant time 内に安全なオーケストレーションを実行することを可能にします。 安全なオーケストレーションとC2メッセージングにより、ACDはサイバー防衛オペレーションを、人間が介在する手動プロセスから、ほとんどの作業が完全に自動化されるか、人間が介在する自動化された作業をサポートするプロセスへと移行することが可能になります。

Active Cyber Defense(能動的サイバー防御)機能を開発するための最適なアプローチとは?

今日におけるネットワーク内において、サイバーセキュリティを実現するのは、互いに独立して動作し(ウイルスチェッカー、リモート構成管理など)、完全な状況認識(脅威や緩和策など)が得られない製品/サービスであり、その多くは人間が関与するプロセスに依存しています。

ネットワーク内のサイバーセキュリティの状況は、インタラクティブに状況認識を共有すること、市販の様々なソースを使用して標準化されたソリューションの開発と活用によって前進させることができます。

具体的にはMITRE が開発したD3FENDが有効

D3FENDは、サイバー攻撃に対する防御的な戦術と手法を提供します。つまり、D3FENDを用いればベンダー固有の用語や専門用語ではなく、抽象的で一般的な言葉から関連づけられた具体的な使い方まで辿ることができます。

Cyber Defense のナレッジベース、より具体的にはナレッジグラフを体系化するフレームワークを構築しております。このグラフには、Cyber Defense の主要な概念と、それらの概念を互いに結びつけるために必要な関係の両方を定義する、意味論的に厳密な型と関係が含まれています。
D3FENDの長期的な目標は、(1)サイバーセキュリティ・ディフェンス技術を特徴づけ、関連付けるための持続可能なナレッジ・フレームワークを構築すること、(2)サイバー領域における技術変化に対応するために必要なナレッジの発見と獲得の努力を加速させることです。

Active Cyber Defense(能動的サイバー防御)は組織に何をもたらすか?

ACDは、企業のネットワーク内部との境界において包括的な統合ソリューションとして導入した場合、ゼロデイ攻撃の緩和を提供し、 messaging fabric (C2メッセージングOpenDXL)を通じて、ゼロデイ攻撃に対するアライアンスの強化を cyber-relevant time 内に実現することが可能です。 ACDフレームワークを指針として、企業はACDソリューションを迅速に導入し、すでに導入されているネットワーク上のサイバーセキュリティ機能を活用することができます。 また、ACDソリューションに内在するオートメーションは、ネットワーク管理のコスト削減につながる効率性とスケーラビリティを約束するものです。

戦争の秘密は通信にある – ナポレオン
DXL は、組織が関連情報をリアルタイムで使用して外部および内部の脅威を監視できるようにします。

https://www.darkreading.com/cyberattacks-data-breaches/the-secret-of-war-lies-in-the-communications—napoleon

Autonomous Cyber Capabilities under International Law

https://ccdcoe.org/uploads/2021/05/Autonomous-Cyber-Capabilities-under-International-Law.pdf

Threat Intelligence Orchestration and Automation

https://www.enisa.europa.eu/events/2019-cti-eu/presentations/threat-intel-martin-ohl

Active Cyber Defenseの特徴とは?

包括的な ACD ソリューションには、サイバーに関するスピーディーな脅威の検出と緩和を可能にする、対話可能なレベルの自動意思決定機能を備え、あらゆる規模の企業で運用できる拡張性を持ち、状況認識を共有することで、他のネットワーク防御および強化機能と協調して機能するという特徴があります。 さらに、これらの機能は即座に利用可能で、民間部門と米国政府の両方が構築および運用できるように設計されていることが求められます。

Active Cyber Defense(能動的サイバー防御)の要件は何ですか?

ACDフレームワークは、サイバースペースのあらゆる場所でACDを実行するために必要な5つの概念的な能力について説明しています。 他の4つのコンポーネント間で標準的なプロトコル、インターフェース、スキーマを使用したリアルタイム通信を可能にするために、基盤となる messaging fabric (C2メッセージングOpen DXL )が必要です。 さらに、ネットワークの状態に関するデータをレポートするセンサー、状態を把握するための sense-making analytics 、状態の変化に対応するための自動意思決定、そしてその決定に基づいてネットワークを保護するための機能が必要です。 ACD フレームワーク固有の機能ではありませんが、共有された状況認識機能は、実用的な ACD 情報を提供し、利用する上で重要な機能です。

日本におけるActive Cyber Defense(能動的サイバー防御)について

サイバーセキュリティ戦略(2021 年9月 28 日閣議決定。2021 年~2024 年の諸施策の目標と実施方針)より

②包括的なサイバー防御を着実に実施していくための環境整備
国は、深刻なサイバー攻撃への対処を実効たらしめる脆弱性対策等の「積極的サイバー防御」 に係る諸施策、IT システムやサービスの信頼性・安全性を確認するための技術検証体制の整備、情報共有・報告・被害公表の的確な推進、制御システムのインシデント原因究明機能の整備等について関係府省庁間で連携して検討する。

2022年度年次計画

  • 内閣官房において、関係府省と連携し、国産技術の確保・育成のための取組や、政府調達における活用も可能な、産学官連携によるサプライチェーン・リスクに対応するための技術検証体制を整え、検証の技術動向や諸外国の検証体制・制度も踏まえ、不正機能や当該機能につながりうる未知の脆弱性が存在しないかどうかの技術的検証を進める。また、研究開発が必要な技術的課題について、他の研究開発予算の活用を含め、対応を検討する。
  • 2022 年4月にサイバーセキュリティ協議会運営委員会において開催が決定された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」検討会において、技術情報等、組織特定に至らない情報の共有の在り方の整理を含め、サイバー攻撃被害を受けた組織において実務上の参考となるガイダンスを 2022 年内に策定すべく進める。
  • 経済産業省において、2023 年内を目途にサイバーインシデントの観点から制御システムの事故原因の究明を行う機能を立ち上げるべく 2022 年度内に複数分野でパイロット実証事業を実施する。

内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議

https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/index.html

趣旨
「国家安全保障戦略」(令和4年12月16日閣議決定)に基づき、サイバー安
全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、当該分
野における新たな取組の実現のために必要となる法制度の整備等について検
討を行うため、サイバー安全保障分野での対応能力の向上に向けた有識者会
議(以下「会議」という。)を開催する。

サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案

https://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g21306007.htm

この法律は、国家が関与していると疑われるサイバー攻撃などの脅威が増大している現状を踏まえ、サイバー安全保障を確保するための能動的サイバー防御体制を整備・推進することを目的としています。そのために、基本理念を定め、国の責務を明確にし、必要な施策を講じること、そしてサイバー安全保障態勢整備推進本部を設置して、総合的かつ集中的に体制を整備・推進することを目指しています。

この法律において「サイバー安全保障」とは、外部からのサイバー攻撃の脅威に対して国家と国民の安全を守ることを指します。また「能動的サイバー防御」とは、サイバー攻撃による被害が発生する前にその兆候を探知し、攻撃主体を特定して排除することで、サイバー攻撃の発生および被害の拡大を防ぐことを意味します。

サイバー安全保障態勢の整備推進の基本理念は次の通りです。

  1. サイバー攻撃が発生する前から能動的サイバー防御措置を機動的かつ効果的に実施する。
  2. 国民の理解と関心を深め、その協力を得るとともに、関係機関や事業者との連携を確保する。
  3. 国民の自由と権利を尊重し、必要最小限の制限の下で公正かつ適正に措置を実施する。
  4. サイバー攻撃の排除措置が合理的な範囲を超えないようにする。
  5. 日本の能力を活かし、国際協力を推進し、外国との連携を強化して国際社会の理解を得る。

国は、サイバー安全保障に必要な専門知識や技能を持つ人材の確保、養成、資質向上のための施策を講じ、その施策を実施する際には、国家および国民の安全を損なう恐れのある情報を取り扱う適性を持つ人材が確保されるようにします。また、国家および国民の安全を脅かすサイバー攻撃による被害の発生と拡大を防ぐため、重要社会基盤事業者に対して必要な助言や支援、サイバー攻撃を受けた者に対する相談体制の整備などの施策を講じます。
今後は、サイバーセキュリティ基本法第二十三条に基づく施策を実施する際、広報活動などを通じて能動的サイバー防御措置に関する国民の理解と関心を深めることに特に注力していきます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ