Open in app

Sign in

Write

Sign in

サイバーディフェンスのグレーゾーン

Takamichi Saito
9 min readSep 1, 2019

--

先日ブログ記事を書いたところ、友人より「まず、これ読め」と言われました。

Into the Gray Zone — The Private Sector and Active Defense Against Cyber Threats-(The Center for Cyber and Homeland Security (CCHS)、2016)

今回は、(国内でもそっちの方達はすでにご存知のことでしょうけど)こちらのレポートのまとめです。

このレポートは、高まるサイバー脅威に対し、従来型のパッシブなサイバーディフェンス(FWやウィルス対策ソフトなどの利用)では対処が難しいという2016年の認識の下、サイバー領域における「アクティブディフェンス」を提唱し、それを国家安全保障の文脈で実現するために米国政府としてどのように促進すべきかの提言を主に示したものになっております。

総ページ数86ページで英文は読みやすいのですが、広範な専門的概念・用語、背景知識がないと読みこなすのが大変なレポートです。

駆け足で読んでみましたので、重要なポイントに抜けがあるかもしれませんが、備忘録を兼ねて、全体概要を勝手にまとめてみます。

サイバーディフェンスの背景

この種のレポートではありがちだと思いますが、一般的なサイバー領域の脅威についての現状と、その課題を分析しております。

よくある数字や指摘はここでは省略しますが、いくつか「なるほど」と感心した洞察があったので、そちらを箇条書きします。

  • 非国家支援の攻撃者(一般的な犯罪者)でさえ、最も有能な国家支援の攻撃者の技術を習得していく
  • 昨今のサービス連携によるシステム構成という背景により、内部と外部などの境界線が曖昧
  • サイバー攻撃は主権侵害だけでなく経済的な損失へ繋がり、累積する経済損失は安全保障に匹敵する脅威である
  • (安全保障とは言え)サイバーの戦場・最前戦は民間セクターに(物理的・論理的に)存在するので、政府機関は守り難い(従来、安全保障は軍隊の物理的活動領域)
  • サイバーの問題は、グローバル世界の二重性(経済交流と安全保障)により、複雑で他に類を見ない課題

「アクティブディフェンス」とは

「アクティブディフェンス」についての定義は、従来軍事的な文脈でも利用されていたそうですが、サイバー領域における定義として、このレポートで、以下のように示されています。

Active defense is a term that captures a spectrum of proactive cybersecurity measures that fall between traditional passive defense and offense. These activities fall into two general categories, the first covering technical interactions between a defender and an attacker. The second category of active defense includes those operations that enable defenders to collect intelligence on threat actors and indicators on the Internet, as well as other policy tools (e.g. sanctions, indictments, trade remedies) that can modify the behavior of malicious actors. The term active defense is not synonymous with “hacking back” and the two should not be used interchangeably.

【著者抄訳】

アクティブディフェンスとは、従来のパッシブディフェンスと攻撃の中間にあるさまざまなプロアクティブなサイバーセキュリティ活動を意味する用語です。これらの活動は2つの一般的なカテゴリに分類されます。1つ目のカテゴリは、防御側と攻撃側の間の技術的な相互作用を対象としています。アクティブディフェンスの2番目のカテゴリには、防御者がインターネット上の脅威と指標(インジケーター)に関する情報を収集できるようにする行為、および攻撃者の動作を改めるための政策的手段(制裁、起訴、貿易救済など)が含まれます。アクティブディフェンスという用語は「ハックバック(hacking back)」と同義ではなく、これらの2つを同じ意味で使用しないでください。

ハニーポット、ボットネットの破壊、攻撃者のIPアドレスからの通信のシンクホール、進行中の脅威に直接対応するために行われる行為などが、アクティブディフェンス行為の例となります(下図参照)。

アクティブディフェンス行為の例と、その位置付け(出典:Into the Gray Zone — The Private Sector and Active Defense Against Cyber Threats-(The Center for Cyber and Homeland Security (CCHS)、2016))

アクティブディフェンス行為には、技術的な行為だけでなく、情報共有、インテリジェンス収集などの活動に加えて、技術的アトリビューション、起訴、貿易救済による制裁や、「晒し上げ」などのより広範な「政策ツール」も含まれます。

先日、「晒し上げ」行為についてブログ記事を書いたところ、冒頭の指摘があったという次第で、「晒し上げ」行為はアクティブディフェンスに準ずるものになるということでした。

行為自体だけでなく、レポートでは、攻撃ステージごとの「攻撃行為」と、「アクティブディフェンス行為」との対応が示されております。
図では、右側に行くほど、「よりリスクを伴う活動であり、一般にネットワークの外部での操作を伴うため、必要なレベルの精度なしで使用すると、小さな副次的損害またはプライバシーの懸念につながる可能性があります」との注意が述べられています。

最近、利用が確認されているビーコンは、比較的リスクが高いという扱いのようですね。国内で利用されている方は、十分注意されるのがよろしいかと存じます。

さらに、侵食的なアトリビューション(不正アクセスを前提とする特定行為)は政府との連携が必要であることや、ハックバックなどオフェンシブサイバー行為は推奨していません

また、アクティブディフェンスの技術の有効期間は短いことも指摘されています。

アクティブディフェンスの推進と検討事項

このレポートは、「アクティブディフェンス」という概念の提案に留まらず、政府や企業のトップが「アクティブディフェンス」をどのように推進すべきかについても詳しく述べられています

ただし、アクティブディフェンスの必要性を認めるものの、無実の第三者に対してプライバシーの懸念を招くなど、いくつかの問題を引き起こし得ることには注意すべきでしょう。

特に、アクティブディフェンスはグレーゾーンで、国内外の法律、問題点を明確にする国際条約やコンセンサスがない状況では、違法性が疑われますので、法制度の仕組み作りの必要性が強調されています。
民間との協業という文脈で、法執行機関を含めた政府の役割・すべき事も明記されております。

レポート中にあった、米国政府の実践例としては、「情報共有」に関する法制度の仕組み作りがあります。
例えば、2014年、サイバーセキュリティの目的のための合理的な情報共有は独占禁止法の違反とは見なされないことを、司法省および連邦取引委員会が宣言しました。
その動きが、2015年のサイバーセキュリティー情報共有法 (Cybersecurity Information Sharing Act (CISA))の策定につながっていたのでしょうか。(「情報共有」についてのブログ記事も以前書いたので、ご参考までに)

また、ボットネットのテイクダウンや、情報共有自体の際に起こり得る不正アクセス行為について、米国法務省はCFAA(Computer Fraud and Abuse Act)の刑事規定の過度の使用を控えるべきだと明記されています。

このレポートの話からは外れますが、研究コミュニティにおいても同じように、オフェンシブな行為が招くリスクの懸念は、このレポートとは別の話になりますが、これまでに指摘されております。
学問の自由がある一方で、研究遂行上のオフェンシブなサイバー行為についての正当性については検証すべきだという考えが普及してきています。日本国内においても、こちらの活動がそれに当たります。

さて、アクティブディフェンスの枠組みは、以下に示すように、「使いどころ」について検討を要する方法論です。

「実施するか」と「静観するか」のいずれかによるリスクとメリットを比較し、その上で、実施が必要な場合に、適切なツールを選択して利用するために使用できるリスク駆動の方法論(risk-driven methodology ;日本語だとリスクベース方法論かな?)

アクティブディフェンス利用の際の判断基準のポイントがいくつか示されていたので、それらを箇条書きにまとめてみました。

  • 【タイミング】攻撃の前、攻撃中、または攻撃後のタイミングで適用されているか
  • 【影響ドメイン】(アクティブディフェンス行為の)効果は、防御側のネットワークでのみか、外部ネットワークへ波及するか
  • 【目的】(アクティブディフェンス行為の)目的が特定の行為(情報共有、ハニーポットなど)に限定されているか
  • 【承認】法的な意味を含めた承認があるか
  • 【副次効果の最小化】効果を最大化して、副次的被害を最小化しているか

繰り返しですが、レポートでは、民間との協業を含めた政府の役割が強調されていました。
特に、アクティブディフェンスの行使について、「法的枠組みをクリアにきちんと整備すれば、民間は特定の活動または技術の合法性をケースバイケースで評価できる」という指摘もありました。

この指摘には、サイバー領域で混乱が多い某国にデジャブを感じたので、この箇所を読んだ瞬間、「現状、トラブルや萎縮が発生しているというなら、法制度がきちんと設計運用できていないということですかね。」というつぶやきがTwitterに漏れてしまいました。

このレポートは単なる技術概念の提案に留まらず、安全保障、法制度や政策についての提言で、米国関係者の能力の高さを改めて感じた次第です。

2016年公開なので今更ではありますが、このレポートは大変勉強になりました。
特に、最近の国内外の政策や動向についての色々がかなり繋がりました。
教えてくれた某S氏に記して、感謝いたします。

2019/09/01

Cybersecurity
Cyber Defense

--

--

Takamichi Saito
Takamichi Saito

Written by Takamichi Saito

37 Followers
5 Following

明治大学理工学部、博士(工学)、明治大学サイバーセキュリティ研究所所長。専門は、ブラウザーフィンガープリント技術、サイバーアトリビューション技術、サイバーセキュリティ全般。人工知能技術の実践活用。著書:マスタリングTCP/IP情報セキュリティ編(第二版)、監訳:プロフェッショナルSSL/TLS

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams