第767号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「アクティブサイバーディフェンスと企業のセキュリティ対策について その2」

昨年10月にコラム第740号でアクティブサイバーディフェンス(以下、ACD)と企業のセキュリティ対策について、思うままに書かせていただいた。そうしたところ、同年12月に国家安全保障戦略が発表され、サイバー安全保障分野における対応能力の向上の一環として、能動的サイバー防御(英語版ではActive Cyber  Defense)に関する国の戦略が明らかになった。私自身がコラムでACDに触れた直後だったこともあり、関心を持って読ませていただいた。今回のコラムでは国の戦略を読んでの感想文を遅ればせながら提出させていただく次第である。

国家安全保障戦略(以下、本文)のP21には『サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野で対応能力を欧米主要国と同等以上に向上させる』と、高い目標が掲げられている。私が注目したのは国自身が行うセキュリティ対策の具体的な内容である。実際にやるとなると難易度が高い取り組みが並んでいる。少し紐解いてみたい。

本文には『最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する』とある。まるで孫氏の兵法「彼を知り己を知れば百戦殆からず」をサイバー空間で常時・随時にできる仕組みをつくるのだ。

民間企業では、自社システムを常時評価することは簡単ではない。すべてのシステムに資産管理のためのエージェントソフトをインストールして、中央集権的に神経網を張り巡らせる必要がある。システムの新規導入時はともかく、故障で交換した機器や増設した機器を含め、まさに水も漏らさぬシステム管理が求められる。 加えてシステム毎にどんなパッチが当たっているかリアルタイムで管理し『脆弱性等を随時是正』する仕組みをつくり、運用する体制が必要である。この部分がいい加減だとセキュリティ対策の全体的な水準を上げることは難しい。

セキュリティ対策の基本である資産管理と脆弱性対策を、国がスピード感を持って取り組むのは当然のことだが、どうやって実現するつもりなのか調べてみたところ、デジタル庁の「常時リスク診断・対処システムアーキテクチャ(2022年6月30日)」に行き当たった。この文書の表紙に書かれた〔概要〕をそのままご紹介する。

——————————————————————————————————————
ゼロトラストアーキテクチャの環境下において、安定かつ安全なサービス 提供を実現するためには、政府全体のサイバーセキュリティリスクを早期に検知し、これを低減することが必要となる。本文書は、各府省庁の政府情報システムにおけるサイバーセキュリティリスクについて常時かつ継続的に状況を把握するとともに、必要に応じて各府省庁と連携してリスク低減活動を実施するための、情報収集・分析を目的としたシステム(以下、「常時リスク診断・対処(CRSA)システム」という。)のアーキテクチャについて解説している。
——————————————————————————————————————

このCRSAシステムをどう作るのか、すでに動かせる状態にあるのか気になって読み進めると、CRSAは米国連邦政府機関の情報セキュリティレベルを上げる取り組みであるCDM(Continuous Monitoring and Mitigation)のアーキテクチャを参考にした考え方であることが分かった。CDMとは直訳すると「継続的な診断及び軽減」であるが、もう少し解説を加えて意訳すると、本文の『最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する』に近い表現になると思われる。
つまり、米国連邦政府で始まったCDMの概念を、日本国政府もCRSAと形を変えて取り入れて、サイバー空間の安全保障の対応能力の向上に取り組むということなのだろう。

本来のゴールはCRSA/CDMの概念を、民間企業のセキュリティ対策にあてはめ、サプライチェーン全体に展開することだろうが、一朝一夕に進むものではない。どの様に進めるべきかチャットGPTに質問するとどんな答えが返ってくるだろうか・・・

つらつらと感想文を書き進めてきたが、だんだんと筆が進まなくなってきた。自社のセキュリティ対策で見直しが必要なことがたくさん出てきて、それが気になって仕方がないので、この辺で筆をおかせていただく。最後までお付き合いいただきありがとうございました。

【著作権は、小山氏に属します】