求められるサイバー攻撃対処能力

kazuo

投稿者:ASERT Japan名誉アドバイザー名和 利男

現時点のサイバー空間における脅威主体について、筆者がサイバー空間利用における様々な防衛活動を通じて得られた状況認識を紹介する。

  1. 新技術や応用技術(科学技術、医療等)の発展を任務とする機関・団体及びそれと近い関係にある組織が、特定の対象組織の内部にある重要情報を窃取する。様々な国で、国家の発展と近代化のために具体的かつ詳細な計画(工程)が組み立てられ、それに基づく予算配分の中で各種事業が推進されている。しかし、そのすべてが計画通りに進むわけではない。技術開発や研究に関する事業は、必ずしも確実に成功することは限らないためである。諸外国の中で、法より国家権力が強い国は、国家としての意思が強く働く傾向にあるため、国家の発展の基盤の一つである新技術や応用技術の事業を確実に推進させようとする。そこで、目標に達成する見込みが薄くなった現場は、不正手段による事業の推進を図ろうと、同種の技術研究や研究を先行している他(国)の組織の内部情報を窃取しようとする。その手段の一つに、サイバー攻撃がある。中には、自分自身の成果物をより素晴らしいものにするためにサイバー攻撃による情報窃取を行う者も存在する。
  2. 軍内部のサイバー戦略・戦術の開発・推進を任務とする機関・組織が、敵対する国の軍の行動能力や規模を把握する。敵対する国の軍事力を事前に正確に把握することは、国を守る任務を持つ軍としては至極当然の行いである。最近、コストが嵩み易い軍事兵器の一部に、ライフサイクルを含むコストと開発期間を削減する効果が期待されるCOTS(棚から出してすぐに使える市販品)が積極的に利用されている。また、情報のデジタル化とネットワーク化による情報利用が進んだ軍事技術の発展により、旧来の火力や機械力のみでは軍事力を適切に測れなくなってきている。そのため、敵対する国の軍事力を把握しようとする場合、必然的にそのCOTSを提供する民間の防衛企業も諜報対象になってきている。
  3. 国内の治安や統制を任務とする組織が、テロリストや(国内の)不法分子を支援する組織の行動情報や内部情報を傍受する。最近の海外テロリストや国内の不法分子は、メンバ間のやり取りや同調者を獲得するために積極的にサイバー空間を利用するようになっている。これまで、テロ対策や治安を任務とする当局は、監視対象の者たちの行動追跡や電話でのやり取りを傍受することにより、テロ活動を未然に防ぐ努力してきたが、サイバー空間を利用するテロリストや不法分子に対しては、サイバー空間で利用しているアカウント等が監視対象であるかどうかを識別する必要がある。しかしながら、監視対象が秘匿技術を使用していた場合、当局は識別することが非常に難しくなる。そこで、国家の意思が強く働く傾向にある国の一部では、テロリスや不法分子だけでなく、国外から支援している可能性のある組織に対しても、サイバー攻撃等の不正手段を行使して、それぞれの内部情報を取得しようとしている。
  4. マフィアやギャング或いはそれ近い関係にある組織が、不特定多数或いは特定の相手から経済的利得を得る。マフィアやギャングは、不法な手段による経済的利益を得ているとされている。最近の経済活動の一部がサイバー空間で行われるようになったことを受けて、マフィアやギャングが、不特定多数の個人や組織をターゲットにしたサイバー攻撃による金銭搾取を行うようになってきている。その手口は年々高度化及び複雑化しているが、現在、国内外で大きな問題となっているのは、ランサムウェア(感染によりコンピュータシステムへのアクセスを制限させ、この制限を解除させるたに被害者に身代金を支払うように要求するマルウェア)であり、多くの種類が存在している。最近、その一部が、有名なギャング集団による組織的犯行であることが明らかとなった。すでにマフィアやギャングが関与していと見られるサイバー犯罪は、ビジネスモデル化されていると見られている。
  5. 強い不満や不安を持つ若年層が、鬱憤晴らし、特定の思想や信条、或いは何かしらの報酬を得るために行う。最近のOECD(経済協力開発機構)の調査によると、貧富の格差が過去最大水準になるとともに、貧困層の拡大が急速に進んでいるとしている。筆者が行っているサイバー空間における動向リサーチから得られる状況の一部で、OECDの調査結果に符合していると感じられるものがある。サイバー攻撃を仕掛けようと集まるコミュテニィフォーラムの一部で、自身が置かれている生活環境や社会環境に対する強い不満や不安を訴えるメッセージを書き込む若年が多くなっているところである。そのような者たちほど、主要なマスメディアやソーシャルメディアが流す情報に強い影響を受け、特定の思想や信条に同調した格好で、サイバー攻撃に加担しようとする姿勢が強くみられる。或いは、何かしらの事情で、金銭獲得を目的としたサイバー攻撃に手を染めている者も存在している。

民間企業からみたサイバー攻撃は、一見すると同様なタイプの手法や手口が確認されるが、それぞれをよく見ていくと、以前とは大きく異なる様々な脅威主体が存在していることが分かる。この中には、①~③のような「国家によるサイバー攻撃」と見なされるものが含まれている。このような攻撃は、一(いち)民間企業のみで防衛することは事実上不可能に近いといわざるを得ない。一方、規模の観点から見ると、大半の脅威主体は④~⑤である。これらの脅威主体は、汎用的な攻撃技術や手法が繰り返し利用することが多く、にわか仕込みの知識やスキルで攻撃を仕掛けようとする者もいるため、民間企業で防衛することが可能な領域がある。

そこで、現在の民間企業が、サイバー攻撃の被害から組織を防衛するために保有すべきサイバー攻撃対処能力を、その対処体制と行動プロセスの観点で説明する。

昨今のインシデント対処体制を保有すべきという風潮が浸透し、国内の多くの民間企業が、CSIRT(Computer Security Incident Response Team)と呼ばれるインシデント対処のための組織設置や体制構築を進めている。筆者は、これまで100組織以上のCSIRT構築及び運用支援に携ってきたが、その経験の中で、日本国内のインシデント対処体制の設計思想が、次の3つのいずれかモデルに偏重しているように見えている。

コンプライアンス強化モデル

1014_1

明確なポリシーや基準を定めて運用の可否の厳格化を目指すもの。上場企業の持ち株会社、グループ企業の親会社、政府関係機関に多い。

インシデントレスポンスモデル

1014_2

発生した事象に対して迅速かつ的確な対処を目指すもの。重要インフラ事業者やインターネット関連会社に多い。

積極的防衛モデル

1014_3

明確な意図を持った攻撃行為に対峙し、積極的な防衛を目指すもの。事業推進に大きな影響を与える開発部門を持つ大手事業者に多い。

ちなみに、この3つのモデルの対処体制の中で、サイバー攻撃対処能力を期待通りに発揮しているのは、「積極的防衛モデル」である。

次に、サイバー攻撃対処に係る行動プロセスについてであるが、筆者は、このプロセスのあるべき姿或いは目指すべき方向性として、「人間の危険回避に係る認知行動」の組織への適用を推奨している。

人間は、周囲で発生した自身に危険或いは悪影響を与えるおそれのある事象を、自らの「感覚器官(目、耳、鼻、皮膚、舌等)」で気づき、それらを電気信号に変換した上で、感覚神経を通じて「脳」に伝達及び集約する。「脳」は、その集約された電気信号を元に、事象の空間位置や運動方向等の状況認識を行い、瞬時に膨大な記憶情報と判断ロジックを元にした身体に対する影響可否を判断する。その上で、動作させる運動器官のイメージを作り、即時それを実現するための筋繊維の特定と電気信号を生成し、運動神経を通じて膨大な数の筋繊維に伝達する。各筋繊維は「脳」からの電気信号による縮む・弛むという運動を確実に行うことにより、「運動器官(手や足等)」が動作し、危険を回避可能なところに身体を移動する。

これを、サイバー攻撃対処の行動プロセスを、組織の危険回避に係る認知行動と捉え、人間の主要器官や神経に相当するところに対する機能検証を行うことで、サイバー攻撃対処の行動プロセスの改善を図ることができる。これを定期的に行い、確実に改善を行うことで、状況に適した想定脅威の見積もりと相応するサイバー攻撃対処能力を獲得することができる。以下、簡単な機能検証の例を示す。

組織としてのサイバー攻撃の認知・検知(≒人間の感覚器官)の一例

組織としてのサイバー攻撃の状況把握・判断/合意・指示(≒人間の脳)の一例

組織としてのサイバー攻撃の対処(≒人間の運動器官)の一例

1014_4