コラム第876号:「アクティブサイバーディフェンスと企業のセキュリティ対策について その4」
第876号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「アクティブサイバーディフェンスと企業のセキュリティ対策について その4」
今回で4回目となるコラム「アクティブサイバーディフェンス(以下、ACD)と企業のセキュリティ対策について」お付き合いください。
5月16日にサイバー攻撃を未然に防ぐ「能動的サイバー防御(以下、ACD)」導入に向けた関連法が参院本会議で可決され成立した。また同じ日に重要経済安保情報保護活用法による「セキュリティクリアランス」制度の運用が始まっており、我が国のサイバー安全保障戦略が動き出した感がある。
2022年12月16日に国家安全保障戦略が策定されてから2年半、紆余曲折を乗り越えてこられた関係者の皆さんに敬意を表したい。
国のACDでは「①官民連携の強化・②通信情報の利用・③攻撃サーバーの無害化」の3つの施策が動いていく。今回のコラムでは②通信情報の利用について触れさせていただきたい。政府広報のリーフレットによれば、②通信情報の利用とは「攻撃サーバーなどを検知するため、通信事業者と連携して、政府は通信情報を取得分析する(後略)」と書かれている。実際に何が行われるのか承知しているわけではないが、通信情報を企業のセキュリティ対策にも役立てる方策について考えてみたい。
私は通信事業者のセキュリティ担当である。過去に経験したサイバー攻撃の教訓から、通信情報の分析は攻撃元を調査しセキュリティ対策に繋げる有効な方法だと理解している。不正アクセスを受け、お客様に迷惑をかけた事案なので自慢できる話ではないが、当時のインシデント対応チームはサイバー攻撃を受けながらも攻撃元IPアドレスを必死になって調査していた。
調査の結果から攻撃元のIPアドレスは100以上もあり、攻撃者はIPアドレスを使い捨てるように替えながら社内に侵入してきていた。しかも攻撃元のIPアドレスの大半は米国のパブリッククラウドに割り当てられたものであり、一見すると自社が契約しているクラウドサービスとの正常通信に見える攻撃だった。
本当のところは攻撃者に聞いてみないと分からないが、彼らは正規のパブリッククラウドを利用することで、攻撃と見破られないように自らの存在を隠蔽しつつ、足のつかない安全な環境で攻撃を行っていたに違いない。
攻撃者はパブリッククラウドの中にいるように見えた。しかし、実際の攻撃者はパブリッククラウド先の先、匿名ネットワークを挟んで身を隠しながら攻撃していたはずだ。被害者から攻撃者までの間に存在する複数の通信事業者やクラウド事業者の通信情報をつなぎ合わせれば、攻撃者までたどり着ける可能性について理解していたものの、2020年当時の法制度では実施は難しいと断念していた。
さてそろそろ本題に入りたい。
当時は攻撃を受けたサーバーへのアクセスログ等から攻撃元IPを調査したため、膨大な時間を費やしたが、当時もし国のACDにおける「②通信情報の利用」が民間企業で利用できていたら、迷路を上空から眺望するように攻撃元IPアドレスにたどり着くことが出来たかもしれない。調査ための時間も劇的に短縮できた可能性が高い。逆転の発想であるが、この攻撃元の調査で培った分析等のノウハウは被害者の検知や対策に役立てられるのではないだろうか。
将来的に可能であればと前置きして更に述べさせていただくが、通信情報はIPアドレスとIPアドレスの通信の履歴である。例に挙げたように攻撃者がパブリッククラウドを利用して不正アクセス等の攻撃を行っていた場合を含め、国が分析する通信情報には被害者のIPアドレスが含まれている可能性が高い。
国のACDによる攻撃サーバーの調査や検知の過程で、攻撃の被害者を見つけた場合は、国から被害者に対して「御社のIPアドレスと攻撃者のIPアドレスが通信した履歴がありました。侵入されていた可能性がありますので調査して、その結果について報告をお願いします。」などと連絡をお願いしたい。
セキュリティ対策を進める上では、目に見えないサイバー攻撃を自分事化して取り組めることが重要であり、国からの具体的な注意喚起の取り組みを、企業グループやサプライチェーンに広げることで、国全体を守る取り組みに繋げたいと考えている。
最後までお付き合いいただき有難うございました。
以上
【著作権は、小山氏に属します】
