第740号コラム:小山 覚 理事(NTTコミュニケーションズ(株)情報セキュリティ部 部長)
題:「アクティブサイバーディフェンスと企業のセキュリティ対策について」

アクティブサイバーディフェンス(以下、ACD)という言葉を耳にする機会が増えた。
今回のコラムではACDを取り上げたい。このコラムの内容はACDの正確な
情報提供ではなく、私の随想であることにご留意いただきたい。

最初に申し上げておくと、私はACDについて誤解していた。私のACDの理解は
数年前に聞いた「攻撃元に対する反撃を含む能動的な防御を行うことがACDであり、
米国では行われているが日本では法的に難しい」という説明を鵜呑みにしたものだった。

そんな私にACDについて意見を求められる機会があった。知人との会食の場だったが、
ACDを説明しようと口を開きかけた途端、私のACDに対する理解がナンセンスで
あることに気づき、その言葉を飲み込んでしまった。

そもそも「攻撃元に対する反撃」は難易度が高すぎる。仮に法的に許された場合でも、
攻撃元は攻撃の踏み台として悪用された第三者のシステムである可能性が高く、
反撃しても本来の攻撃者にダメージを与えることや、更なる攻撃を思い止まらせる
ことなど出来るわけがない。むしろ踏み台にされた第三者を更に攻撃してしまうことで、
自分の立場が被害者から加害者に変わってしまう。

数年前は情報が乏しかったACDだが、いまはWeb検索すると日本語記事が
多数出てくるので、そちらをご覧いただきたいが、一般的なACDの解釈では
反撃は想定されていないようだ。またACD の定義は英米でも少し異なっており、
国内の定説はまだない。では国内でガイドラインのようなものが出回るまで、
民間企業はACDをスルーしておいて良いものかというとそうではない。
民間企業がどこまでアクティブにサーバーディフェンスに取り組むかは、
しっかり考え対策を打たなければならない。

読者の皆さんには、なんだそんな事も知らなかったのかとお叱りを受けそうだが、
まさに知人との会話をきっかけに、つらつらとACDについて考えることになった。
かく言う私は恥ずかしながら、企業のセキュリティ対策に責任を果たす立場にある。
後段では自社が何をやるべきか考えたことをご紹介したい。

民間企業としてやるべき能動的な防御(サイバー攻撃対策)は、
①まず自社のIT資産管理をしっかり行い、②サイバー攻撃に関する様々な情報
(CTI:Cyber Threat Intelligence)を積極的に活用して、③能動的に、
つまり短いサイクルでセキュリティ対策を繰り返し行い続けることだと考えている。

この①②③のサイクルを能動的に回し続けることがACDの第一歩なんだろうと
思うことにした。これが自社の環境を想定し、私がやれる範囲のACDとは?と
自問した答えである。

①②③の取り組みが不十分な状態で、最新のサイバー攻撃対策を導入しても、
執拗な攻撃に対しポテンヒットを許してしまう可能性がある。どの会社のCSIRTも
①②③の徹底は苦労している課題ではないだろうか。巷でよく言われる「攻撃者が
長期間潜伏する」背景には、①②③が不十分だからとも思えるが、皆様はいかが
お考えでしょうか。

そこで①②③の対策を徹底するため、何か良いガイドラインがないか探していたところ、
偶然にも2022年10月3日 米国CISAが米国政府機関に対して以下のような
運用司令を出していることを部下から教えてもらった。共時性というべきタイミングの
良さだった。
https://www.cisa.gov/binding-operational-directive-23-01

これを読むと米国連邦政府全体のIT資産と脆弱性に対する可視性を向上させることで、
サイバー攻撃の検知や、防止、対応能力の向上を行う、具体的な方策が書かれている。
米国政府が拘束力のある運用司令を出した背景には、2020年のSolarWindsへの
大規模なサイバー攻撃への反省があると言われているが、私も賛同する部分が多い。

さらに抽象度を上げて考えれば、中国春秋時代の孫子曰く「敵を知り、己を知れば、
百戦して殆うからず」と同じような取り組みが、現代の米国で推奨されているように
思われる。日本国内において「企業」が目指すべきACDのゴールイメージが、
米国から示されたと理解しても大きな間違いはなさそうだ。と個人的に考えている。

まさか現代の米国の政策が「孫子の兵法」ではあるまいが、いつの時代も本質的に
重要な事柄は変わらないと言うことであろうか。
最後までお付き合いいただきありがとうございました。

【著作権は、小山氏に属します】