サイバー攻撃を未然に防ぐ手法である「能動的サイバー防御」導入へ、欧米から周回遅れの日本のサイバーセキュリティは変わるか
アクティブという言葉は、パッシブ・ディフェンスとの対比で用いられ始めた。パッシブ・サイバー・ディフェンスには、ファイアウォールや侵入検知システム(IDS: Intrusion Detection System)などが含まれ、監視センターなどが境界を破って侵入する活動を検知したら、インシデント対応部署がこれに対処する。 こうした境界防御(perimeter defense)/多層防御(defense in depth)といった古典的なサイバーセキュリティは、攻撃的脅威が急速に増大する状況下で洗練されているものの、十分なリソースを持つ敵対者に対しては限定的な効果しか持たず、より能動的な防御行動が求められるようになっている。
■能動的サイバー防御とは そもそもサイバー攻撃においては攻撃者が優位である。攻撃者は、成功する可能性が高い時間、対象、手法(TTPs: Tactics, Techniques, Procedures)を選択できるからだ。 能動的サイバー防御は、攻撃者優位から防御者優位へのパラダイム・シフトを起こすことを目的とするものでもある。そんな能動的サイバー防御は、国、組織、論者によって解釈の幅がある。 例えば、アメリカ国家安全保障局(NSA)は、こう述べている。
「アクティブ・サイバー・ディフェンスは、重要なネットワークやシステムに対する脅威のリアルタイム検出、分析や軽減を同期することにより、予防的かつ再帰的なサイバー防御の取り組みを補完する。 この概念は、国防総省のネットワークだけでなく、すべてのアメリカ政府および重要インフラ・ネットワークの防御に適用できる。アクティブ・サイバー・ディフェンスは保護対象のネットワーク内でアクティブであるが、攻撃的という意味ではない」
アメリカ政府や企業・団体およびそれらに所属する人々のITセキュリティ教育を目的として1989年に設立されたSANS Instituteは、2015年に発表した白書の中で、サイバーセキュリティのスライディング・スケールをカテゴリーごとに区分けしている。 ①アーキテクチャー、②パッシブ・ディフェンス、③アクティブ・ディフェンス、④インテリジェンス、⑤オフェンスーーの5つで、アクティブ・ディフェンスを「アナリストがネットワーク内部の敵対者を監視し、対応し、学習するプロセス」としている。