攻撃者が圧倒的に優位で防御側のコントロールが困難な問題に対して向き合う Active Cyber Diffense 、そこには行為を通して自ら環境を創造し、同時にその環境が人々を創造する相互規定的な関係である Sensemaking といった概念が重要になってくると思います。
- Enactment:周囲からヒントを得て認識するプロセス
- Selection:行動を決定するために、主観的な意味を見出し選択するプロセス
- Retention:ナレッジを蓄積して、今後の選択と行動の指針となるもの
Active Cyber Defense (ACD)は、国防総省(DoD)のディフェンシブ・サイバー・オペレーションに対するアプローチの一つである。ACDは、国防総省とインテリジェンス・コミュニティのためのディフェンシブ・サイバー・セキュリティ能力の強化にとどまりません。ACDで定義された能力とプロセスは、連邦、州、および地方の政府機関および組織、防衛請負業者、重要インフラストラクチャー部門、および産業をサポートするために用いることができます。脅威情報分析、サイバー活動アラート、レスポンスアクションを迅速かつ自動的に共有・評価する能力は、高度なサイバー攻撃の検出と防御を成し遂げるための取り組みを一元化するために重要です。
National Security Agency | Central Security Service *ATTENTION – As of 24 February 2022, all users must install a DoD Root Certificate in their browser in order to access this website.
Active Cyber Defense のフレームワークと原則
Framework and Principles for Active Cyber Defense | 海軍大学院大学 2013年12月, Denning, Dorothy E.
本論文では、アクティブおよびパッシブな防空・ミサイル防衛の概念を概観し、それらをサイバースペースに適用し、様々なタイプのActive Cyber Defenseを区別するための枠組みを説明し、最後にActive Cyber Defenseを行うための法的・倫理的原則を示唆する。
なぜActive Cyber Defenseが必要なのか?
2000年から2014年にかけて、世界のインターネット利用は741%増加し、3億6000万人から約35億人へと増加しました 。 米国の重要インフラのセキュリティと運営は、破壊とエクスプロイトに対して脆弱な恐れのあるサイバースペース上の産業用制御システムおよび情報技術に依存しています。 そして、国防総省と国家は、基本的な自由、プライバシー、自由な情報の流通を保護する安全で信頼できるサイバースペースに依存しています。
私たちのネットワークとデータは、さまざまな脅威から継続的にサイバーセキュリティの攻撃を受けています。 これらの敵対勢力に対する効果的な防御には、何千ものエンドコンポーネントとネットワークシステム、複数の組織プロセス、多様なドメイン内およびドメイン間での複雑な対応行動の選択、解除、実行をほぼリアルタイムでオーケストレーションすることが必要です。 今日、このようなオーケストレーションは、複数のインプットを関連付け、一連の対処を指示するために、主に手作業で、人間が介入するプロセスになっています。 このプロセスでは、高度なサイバー脅威の存在下で作戦を成功させるために必要なスピード、アジャイル、コントロールを提供することはできません。 ACDフレームワークを導入することで、セキュアオーケストレーションは、ネットワークやサイバーセキュリティのイベントへの対処方法を選択し、指示し、追跡するための自動化されたヒューマンインザループ (HITL) 機能を提供することになります。
セキュアオーケストレーションとは、ACD運用の統合、同期、自動化を指し、意思決定、行動、ACDミッションマネジメントの要素を含んでいます。 C2メッセージングは、簡潔な標準メッセージの交換により、 cyber-relevant time 内に安全なオーケストレーションを実行することを可能にします。 安全なオーケストレーションとC2メッセージングにより、ACDはサイバー防衛オペレーションを、人間が介在する手動プロセスから、ほとんどの作業が完全に自動化されるか、人間が介在する自動化された作業をサポートするプロセスへと移行することが可能になります。
Active Cyber Defense機能を開発するための最適なアプローチとは?
今日におけるネットワーク内において、サイバーセキュリティを実現するのは、互いに独立して動作し(ウイルスチェッカー、リモート構成管理など)、完全な状況認識(脅威や緩和策など)が得られない製品/サービスであり、その多くは人間が関与するプロセスに依存しています。
ネットワーク内のサイバーセキュリティの状況は、インタラクティブに状況認識を共有すること、市販の様々なソースを使用して標準化されたソリューションの開発と活用によって前進させることができます。
具体的にはMITRE が開発したD3FENDが有効
D3FENDは、サイバー攻撃に対する防御的な戦術と手法を提供します。つまり、D3FENDを用いればベンダー固有の用語や専門用語ではなく、抽象的で一般的な言葉から関連づけられた具体的な使い方まで辿ることができます。
Cyber Defense のナレッジベース、より具体的にはナレッジグラフを体系化するフレームワークを構築しております。このグラフには、Cyber Defense の主要な概念と、それらの概念を互いに結びつけるために必要な関係の両方を定義する、意味論的に厳密な型と関係が含まれています。
D3FENDの長期的な目標は、(1)サイバーセキュリティ・ディフェンス技術を特徴づけ、関連付けるための持続可能なナレッジ・フレームワークを構築すること、(2)サイバー領域における技術変化に対応するために必要なナレッジの発見と獲得の努力を加速させることです。
Active Cyber Defenseは組織に何をもたらすか?
ACDは、企業のネットワーク内部との境界において包括的な統合ソリューションとして導入した場合、ゼロデイ攻撃の緩和を提供し、 messaging fabric (C2メッセージング、 OpenDXL)を通じて、ゼロデイ攻撃に対するアライアンスの強化を cyber-relevant time 内に実現することが可能です。 ACDフレームワークを指針として、企業はACDソリューションを迅速に導入し、すでに導入されているネットワーク上のサイバーセキュリティ機能を活用することができます。 また、ACDソリューションに内在するオートメーションは、ネットワーク管理のコスト削減につながる効率性とスケーラビリティを約束するものです。
戦争の秘密は通信にある – ナポレオン
https://www.darkreading.com/cyberattacks-data-breaches/the-secret-of-war-lies-in-the-communications—napoleon
DXL は、組織が関連情報をリアルタイムで使用して外部および内部の脅威を監視できるようにします。
Autonomous Cyber Capabilities under International Law
https://ccdcoe.org/uploads/2021/05/Autonomous-Cyber-Capabilities-under-International-Law.pdf
Threat Intelligence Orchestration and Automation
https://www.enisa.europa.eu/events/2019-cti-eu/presentations/threat-intel-martin-ohl
Active Cyber Defenseの特徴とは?
包括的な ACD ソリューションには、サイバーに関するスピーディーな脅威の検出と緩和を可能にする、対話可能なレベルの自動意思決定機能を備え、あらゆる規模の企業で運用できる拡張性を持ち、状況認識を共有することで、他のネットワーク防御および強化機能と協調して機能するという特徴があります。 さらに、これらの機能は即座に利用可能で、民間部門と米国政府の両方が構築および運用できるように設計されていることが求められます。
Active Cyber Defenseの要件は何ですか?
ACDフレームワークは、サイバースペースのあらゆる場所でACDを実行するために必要な5つの概念的な能力について説明しています。 他の4つのコンポーネント間で標準的なプロトコル、インターフェース、スキーマを使用したリアルタイム通信を可能にするために、基盤となる messaging fabric (C2メッセージング、Open DXL )が必要です。 さらに、ネットワークの状態に関するデータをレポートするセンサー、状態を把握するための sense-making analytics 、状態の変化に対応するための自動意思決定、そしてその決定に基づいてネットワークを保護するための機能が必要です。 ACD フレームワーク固有の機能ではありませんが、共有された状況認識機能は、実用的な ACD 情報を提供し、利用する上で重要な機能です。
日本におけるActive Cyber Defense について
サイバーセキュリティ戦略(2021 年9月 28 日閣議決定。2021 年~2024 年の諸施策の目標と実施方針)より
②包括的なサイバー防御を着実に実施していくための環境整備
国は、深刻なサイバー攻撃への対処を実効たらしめる脆弱性対策等の「積極的サイバー防御」 に係る諸施策、IT システムやサービスの信頼性・安全性を確認するための技術検証体制の整備、情報共有・報告・被害公表の的確な推進、制御システムのインシデント原因究明機能の整備等について関係府省庁間で連携して検討する。
2022年度年次計画
- 内閣官房において、関係府省と連携し、国産技術の確保・育成のための取組や、政府調達における活用も可能な、産学官連携によるサプライチェーン・リスクに対応するための技術検証体制を整え、検証の技術動向や諸外国の検証体制・制度も踏まえ、不正機能や当該機能につながりうる未知の脆弱性が存在しないかどうかの技術的検証を進める。また、研究開発が必要な技術的課題について、他の研究開発予算の活用を含め、対応を検討する。
- 2022 年4月にサイバーセキュリティ協議会運営委員会において開催が決定された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」検討会において、技術情報等、組織特定に至らない情報の共有の在り方の整理を含め、サイバー攻撃被害を受けた組織において実務上の参考となるガイダンスを 2022 年内に策定すべく進める。
- 経済産業省において、2023 年内を目途にサイバーインシデントの観点から制御システムの事故原因の究明を行う機能を立ち上げるべく 2022 年度内に複数分野でパイロット実証事業を実施する。
