「能動的サイバー防御」の企業への影響は? ~知っておきたいセキュリティ政策の転換~

2024年5月から6月にかけて、“能動的サイバー防御に関する有識者会議を開催”、“自民党が導入に必要な法整備の議論を開始”、“経済安全保障推進本部長が総理に提言”など、「能動的サイバー防御」に関するニュースが相次いで配信されています。

能動的サイバー防御は、脅威を察知して攻撃を受ける前に何らかの措置を行うこと。政府や有識者会議で進んでいる議論の核心は、国の重要インフラや政府機関の防御、そして国家間の安全保障で、議論の方向から直接的な影響を受けるのは、当面はインフラや防衛産業、政府機関と接点を持つIT事業者などが中心になると思われます。

しかし、この政策は専守防衛に徹してきた日本のセキュリティ対策の前提を変える転機となるものです。インフラなど基幹産業のサプライチェーンにつながる中小企業、そして一般企業・団体にとっても、まったく無縁の存在とは言えません。

「能動的サイバー防御(ACD:Active Cyber Defense)」の定義は、必ずしも固定したものではなく、解釈もいくつかあるようですが、日本政府が2022年12月に閣議決定した「国家安全保障戦略」の中では、以下のように記載されています。

今後のセキュリティ対策を左右するポイントは“安全保障上の懸念の察知”と、“未然に排除”の部分ですが、同文書では具体的な防御措置までは踏み込んでいません。この先は、現時点で想定される行動と実装の方法を見ていきますが、その前に専守防衛から踏み出すことになった経緯を振り返っておきましょう。

能動的サイバー防御の源流になった概念は、2011年に米国防総省が提唱しています。現在のACDには、日本政府の解釈を含め、攻撃を受ける前の対処が入っていますが、当初は脅威情報の収集、危険度が高い攻撃者の監視など、今は当たり前になっている対策が軸で、能動的対処の要素までは含まれていませんでした。

2010年代以降は、国家主導の大規模なサイバー攻撃、ATP(Advanced Persistent Threat)の激化をはじめ、攻撃の件数も漸増。先鋭化した攻撃手法が各国の犯罪グループ、そして末端の攻撃者にも浸透し、深刻な被害が公共機関、民間企業にも集積している点は周知の通りです。

こうした背景の下、サイバー攻撃から組織を守るには、情報力を高め、攻撃される前に手を打つ、現在の能動的サイバー防御に近い手法の確立が求められるようになったとされています。

この分野では日本は周回遅れの状況です。

2022年に来日したブレア元米国家情報長官が自民党の会合で講演した際、“日米間の連携体制で最大の弱点は情報セキュリティ”、“日本の実力は(野球にたとえて)マイナーリーグでも下位レベル”、などと発言し、ブレアショックとして、政界や情報セキュリティの関係筋に伝わりました。

能動的サイバー防御の実践では、情報の共有と連携は必須ですが、機密情報を守る力が弱いところには渡してくれません。G7をはじめ他の先進諸国では、関連する法整備も実行に移す方法論の確立も進んでいます。こうした状況は「国家安全保障戦略」に至るまでの議論や、冒頭で触れた有識者会議の起案などでも繰り返し指摘されてきました。

先ほど「国家安全保障戦略」では、先手を打つための“具体的な方法”までは踏み込んでいないと記しましたが、方針としては、以下のような内容が挙げられています。

1番目は官民間での情報共有と連携、2番目は通信事業者がリスクを検知する機能を持つこと。そして3番目の「政府に必要な権限を付与」は、能動的サイバー防御は、現状の法体系では遂行が難しいため、政府機関の権限を拡張することです。

政府が挙げた方針を具体的な防御措置に移す方法、あわせて企業社会への影響を考えてみましょう。まず方針として、官民間での情報共有・連携があります。ここで考えられる行動として、通信事業者がサイバー攻撃を検知する機能に加えて、脅威インテリジェンスが収集した情報の活用が挙げられるでしょう。

実践のレベルでは、脅威情報を関係機関で共有し、危険なドメインを特定してサーバーからの通信を遮断。囮になるサーバーやファイルを置いて攻撃者を引きつけるハニーポットという技術や、大量のパケットを送りつけるDoSという手法で、攻撃を遅らせる、妨害するといったやり方も考えられます。

より攻撃性が高い手法は、攻撃側のシステムへの侵入です。例えば、マルウェアに感染させた機器を操作するサーバーを突き止めて侵入し、設定変更して通信機能を止める、データを消去して攻撃プログラムを無害化するなどの方法があるでしょう。

こうしたやり方に対しては、攻撃側も通信経路の切り換えや、司令塔になるサーバー、プログラムの併設などの手段で対抗してきます。通信の遮断や無害化などの手法も決定打にはなりませんが、一時的な措置としても一定の抑止効果は期待できるはずです。

能動的サイバー防御の課題は現行法との整合です。

例えば、通信事業者が入手した情報を外部に出すとしたら、通信の秘密に関する憲法や電気通信事業法、攻撃側のシステムに侵入する際は不正アクセス禁止法、攻撃を無害化するためのプログラムを生成すると、マルウェアに分類されるケースが多く、刑法(ウイルス作成罪)に抵触する可能性も出てきます。

法改正と解釈は、2024年6月に起動した有識者会議の主要テーマの一つです。議論の進行に伴い、法改正の内容をはじめ、新しい制度下における防御措置、そして情報共有と連携の司令塔となる、NISC(内閣サイバーセキュリティセンター)を改組する新組織の体制なども明確になっていくはずです。

能動的サイバー防御における情報提供・共有は、インフラ関連や政府機関と接点を持つ企業だけでなく、サプライチェーンを構成する中小の事業者にも影響が及ぶ可能性があります。攻撃の内容によっては、事業領域に関わらず、被害を受けた組織に情報提供が求められるケースはあり得るでしょう。

また危険性が高い攻撃が拡がった際は、踏み台にされた企業のサーバーも無害化の対象になるかもしれません。ただし、侵入と無害化は“話が通じない相手”に対する最終手段ですから、現実的には国内の事業者が持つサーバーに、いきなり踏み込むようなことはないはずです。

一般企業がセキュリティを強化する施策として、数年のスパンでは脅威インテリジェンスの有効活用、そして能動的サイバー防御で確立された制度と方法論を土台に、入手した脅威情報に対する次の一手の設計も進むと思われます。

能動的サイバー防御は、日本が堅守してきた専守防衛からの大きな転換です。一般企業の方も、セキュリティ対策の節目として、このテーマは押さえておきたいものです。