サイバーセキュリティの領域においては、攻撃者が圧倒的に優位に立ち、防御側はコントロールすることが困難であるという非対称性が存在します。
Active Cyber Defense(能動的サイバー防御)は、この前提に向き合い、防御を受動的対応から能動的な環境制御へと転換するアプローチです。
このとき重要となるのが、Sensemaking(意味形成)の概念です。
すなわち、防御側は単に状況を観測するだけでなく、自らの行為を通じて環境を形成し、その環境が再び意思決定や行動に影響を与えるという、相互規定的な関係の中でサイバー防御を実行する必要があります。
- Enactment:周囲の情報やシグナルをもとに状況を構成・認識するプロセス
- Selection:状況に意味を与え、行動方針を選択するプロセス
- Retention:得られた知見を蓄積し、将来の判断と行動に活かすプロセス
なぜActive Cyber Defense(能動的サイバー防御)が必要なのか?
2000年から2014年にかけて、世界のインターネット利用者数は約3億6,000万人から約35億人へと拡大し、741%の増加を記録しました。
この急速なデジタル化により、米国をはじめとする各国の重要インフラは、産業用制御システム(ICS)および情報技術(IT)に大きく依存する構造へと移行しています。これらはサイバースペース上に存在するがゆえに、破壊やエクスプロイトのリスクに常時さらされています。
同時に、国家および国防組織は、基本的自由、プライバシー、そして自由な情報流通を維持するため、安全で信頼できるサイバースペースに依存しています。
しかし現実には、ネットワークとデータは多様かつ高度化する脅威に対して、継続的に攻撃を受けています。
これに対抗するためには、数千規模のエンドポイントやネットワーク機器、複数の組織プロセス、さらにはドメイン内外にまたがる複雑な対応を、ほぼリアルタイムで統合・実行する必要があります。
現状、このような対応は人手を中心としたプロセスに依存しており、複数の入力情報を相関分析し、対処を指示するオペレーションは依然として手動に近い状態です。
この構造では、高度化するサイバー脅威に対抗するために必要なスピード、アジリティ、統制力を十分に確保することは困難です。
このギャップを埋めるのが、Active Cyber Defense(ACD)です。
ACDフレームワークの導入により、「セキュアオーケストレーション」が実現され、サイバーイベントに対する対応の選択・指示・追跡が自動化されます。同時に、人間の判断を組み込んだHuman-in-the-Loop(HITL)によって、統制と柔軟性の両立が可能となります。
セキュアオーケストレーション
ACD運用における統合・同期・自動化の中核概念であり、意思決定、行動、ミッションマネジメントを包含する。分散したセキュリティ機能を一体的に制御し、迅速かつ一貫した対応を実現する。
C2メッセージング(Command and Control Messaging)
簡潔かつ標準化されたメッセージ交換により、 cyber-relevant time(サイバー対応における許容時間内)での意思決定と実行を可能にする通信基盤。リアルタイム性と統制性を担保する役割を持つ。
これらの仕組みにより、サイバー防衛オペレーションは、従来の人手中心のプロセスから、自動化を基盤としつつ人間の関与を組み込んだ運用モデルへと移行する。結果として、防御能力のスケール、速度、精度が飛躍的に向上する。
Active Cyber Defense(能動的サイバー防御)機能を開発するための最適なアプローチとは何か
現代のネットワーク環境において、サイバーセキュリティは多様な製品・サービスの組み合わせによって実現されています。
しかし、それらの多くはウイルス対策ソフトやリモート構成管理など、個別最適で独立して動作するコンポーネントであり、統合的な状況認識(脅威全体像や緩和策の関連性)を十分に提供できていません。
その結果、セキュリティ運用は依然として人手に依存する部分が大きく、情報の相関分析や意思決定は断片的かつ遅延を伴うプロセスとなっています。
この課題を克服するためには、ネットワーク全体におけるサイバーセキュリティの状況を、リアルタイムかつインタラクティブに共有・統合する基盤の構築が不可欠です。
具体的には、市販およびオープンな複数のデータソース(ログ、脅威インテリジェンス、テレメトリ等)を活用し、それらを標準化された形式で連携させることにより、統合的な状況認識(Common Operational Picture)を形成します。
さらに、この統合基盤の上で、検知・分析・対応の各プロセスを標準化し、自動化とHuman-in-the-Loop(HITL)を組み合わせた運用モデルへと進化させることが重要です。
このようなアプローチにより、分断されたセキュリティ機能は相互に連携し、スケーラブルかつ迅速なActive Cyber Defenseの実現が可能となります。
具体的にはMITRE が開発したD3FENDが有効
サイバーセキュリティは長らく、個別製品の導入と運用の積み重ねによって成立してきました。
- EDR
- ファイアウォール
- SIEM
- 脅威インテリジェンス
しかし、このアプローチには構造的な限界があります。それは、防御が統合されていないことです。
各コンポーネントは独立して動作し、攻撃に対する防御が点で存在しているに過ぎません。その結果として発生するのが、状況認識の断片化、対応の遅延、人手依存のオペレーションです。これは、Active Cyber Defense(能動的サイバー防御)に求められる「リアルタイム性」「統合性」「自動化」と本質的に相反します。
D3FENDは、サイバー防御技術を体系化したナレッジグラフです。従来のフレームワークが攻撃の理解(例:ATT&CK)に重点を置いていたのに対し、D3FENDは防御そのものを構造化します。
具体的には
- 防御技術(例:ログ収集、プロセス監視、ネットワーク検査)
- 防御手法(例:検知、隔離、欺瞞)
- データソース(例:テレメトリ、ログ)
これらをノードと関係性として定義し、防御を意味のある構造として表現します。
D3FENDが有効な理由
(1)防御を「点」から「構造」へ変える
D3FENDの最大の価値は、分断されたセキュリティ機能を構造的に接続できる点にあります。
どのデータが
どの検知に使われ
どの対策に繋がるのか
を明示できるため、防御は単なるツールの集合ではなく、統合されたシステムとして機能します。
(2)攻撃と防御を接続できる
D3FENDは、MITRE ATT&CK と補完関係にあります。
ATT&CK:攻撃者の行動モデル
D3FEND:防御側の対抗手段
この2つを組み合わせることで「どの攻撃に対して、どの防御が有効か」を体系的に定義可能になります。これは、従来の経験依存の防御設計からの脱却を意味します。
(3)セキュアオーケストレーションの基盤になる
Active Cyber Defenseの本質は「リアルタイムでの統合的な防御制御」です。
ここで重要になるのが
データの統合
判断の標準化
実行の自動化
D3FENDは、このうち判断の基準(どの防御を選択するか)を提供します。これにより、XDR によるデータ統合、SOAR による実行自動化と組み合わせることで、セキュアオーケストレーションが実現可能になります。
(4)標準化と相互運用性を担保する
現代のセキュリティ環境では、複数ベンダー・複数ドメインの統合が前提です。そのためには、共通言語と共通データモデルが不可欠です。
D3FENDは、STIX やTAXIIといった標準と親和性が高く、異なるシステム間の連携を前提とした設計になっています。
Active Cyber Defenseにおける位置づけ
D3FENDは単体で機能するものではなく、以下のようなアーキテクチャの中で価値を発揮します。
攻撃理解:ATT&CK
↓
防御知識:D3FEND
↓
データ連携:STIX / TAXII
↓
検知・統合:XDR
↓
実行・自動化:SOAR
この構造こそが、Active Cyber Defenseの実装モデルです。
Active Cyber Defense(能動的サイバー防御)は組織に何をもたらすか?
Active Cyber Defense(ACD)は、企業ネットワークの内部および境界領域において統合的に導入されることで、従来の受動的防御を超えた高度な防御能力を組織にもたらします。
まず、ACDはゼロデイ攻撃に対する耐性を向上させます。
個別のセキュリティ製品に依存するのではなく、統合された防御基盤として機能することで、未知の脅威に対しても検知・緩和の一連の対応を迅速に実行可能とします。
さらに、C2メッセージングやOpenDXLに代表されるメッセージング基盤(messaging fabric )を通じて、組織内外のセキュリティ機能や関係主体を連携させ、cyber-relevant time(サイバー対応における許容時間内)での協調的な防御を実現します。
これにより、単一組織に閉じないアライアンス型の防御モデルが成立します。
また、ACDフレームワークを指針とすることで、企業は既存のセキュリティ機能を活かしながら、統合的な防御能力へと段階的に進化させることが可能です。新規導入に加え、既存資産の再編・連携による価値最大化が図れます。
加えて、ACDに内在する自動化機能は、運用効率を大きく改善します。
インシデント対応やネットワーク管理の多くのプロセスが自動化されることで、人手に依存していた運用負荷が軽減され、コスト削減とスケーラビリティの向上が同時に実現されます。
総じてACDは、
- ゼロデイ攻撃への耐性強化
- リアルタイムかつ協調的な防御体制の構築
- 既存セキュリティ資産の統合と高度化
- 自動化による運用効率とスケーラビリティの向上
を通じて、組織のサイバー防御を個別最適から全体最適へと進化させる中核的なアプローチと言えます。
Active Cyber Defense (ACD)は、国防総省(DoD)のディフェンシブ・サイバー・オペレーションに対するアプローチの一つである。ACDは、国防総省とインテリジェンス・コミュニティのためのディフェンシブ・サイバー・セキュリティ能力の強化にとどまりません。ACDで定義された能力とプロセスは、連邦、州、および地方の政府機関および組織、防衛請負業者、重要インフラストラクチャー部門、および産業をサポートするために用いることができます。脅威情報分析、サイバー活動アラート、レスポンスアクションを迅速かつ自動的に共有・評価する能力は、高度なサイバー攻撃の検出と防御を成し遂げるための取り組みを一元化するために重要です。
National Security Agency | Active Cyber Defense (ACD) *ATTENTION – As of 24 February 2022, all users must install a DoD Root Certificate in their browser in order to access this website.
Active Cyber Defense のフレームワークと原則
Framework and Principles for Active Cyber Defense | 海軍大学院大学 2013年12月, Denning, Dorothy E.
本論文では、アクティブおよびパッシブな防空・ミサイル防衛の概念を概観し、それらをサイバースペースに適用し、様々なタイプのActive Cyber Defenseを区別するための枠組みを説明し、最後にActive Cyber Defenseを行うための法的・倫理的原則を示唆する。
戦争の秘密は通信にある – ナポレオン
https://www.darkreading.com/cyberattacks-data-breaches/the-secret-of-war-lies-in-the-communications—napoleon
DXL は、組織が関連情報をリアルタイムで使用して外部および内部の脅威を監視できるようにします。
Autonomous Cyber Capabilities under International Law
https://ccdcoe.org/uploads/2021/05/Autonomous-Cyber-Capabilities-under-International-Law.pdf
Threat Intelligence Orchestration and Automation
https://www.enisa.europa.eu/events/2019-cti-eu/presentations/threat-intel-martin-ohl
