サイバー攻撃を未然に防ぐ手法である「能動的サイバー防御」導入へ、欧米から周回遅れの日本のサイバーセキュリティは変わるか
また、日本では、能動的サイバー防御だけが切り出されて議論されているように見受けられる。しかし、能動的サイバー防御が実現すればサイバー空間の安全が保障されるわけではない。 ■サイバーセキュリティ全体の枠組みの中で議論を 先述のとおり、能動的サイバー防御は、一連のサイバーセキュリティ活動・手段の一部にすぎない。 十分に強力なアーキテクチャーやパッシブ・サイバー・ディフェンスがあって初めて効果を発し、オフェンシブ・サイバーにスムーズに移行することによって攻撃の起点を潰し、攻撃を無効化できる。
ほかのカテゴリーと緊密に連携させるために、能動的サイバー防御もサイバーセキュリティ全体の枠組みの中で議論されるべきなのである。 2021年、アメリカの大統領令は連邦政府に対し、「大胆な変革と多額の投資」を行い、ゼロトラストを用いてサイバーセキュリティを近代化するよう指示した。 2022年に発表されたアメリカ国防総省の“Zero Trust Reference Architecture”は、「ゼロトラストとは、静的なネットワークベースの境界線から、ユーザー、資産、リソースに焦点を当てた防御に移行する、進化する一連のサイバーセキュリティ・パラダイムを指す言葉である」としている。ネットワーク中心からデータ中心へのパラダイム・シフトであるとも言える。
日本でも、単なるITソリューションではないとされるゼロトラストを理解してサイバーセキュリティ全体の枠組みを計画的に構築し、その中で能動的サイバー防御の活動を議論することによって、欧米諸国と協力できるまでに自らのサイバーセキュリティ能力を向上させることができるだろう。
小原 凡司 :笹川平和財団上席フェロー