過去3回に渡ってサイバー攻撃がらみの話をいろいろと書いてきたが、どちらかというと攻撃側の話に偏っていた傾向がある。防御側の話も取り上げなければなるまい。ということで、サイバー防衛における基本的な考え方の変化、という話を。

泥棒が入ってから縄をなう

「なう」といってもTwitterにおけるツイートではない。と、そういう話ではなくて。

サイバー攻撃があってもなくても、コンピュータやネットワークは常に稼動しており、膨大な分量のデータが飛び交っている。そうした中からサイバー攻撃につながる徴候を見つけ出したり、サイバー攻撃に関連がありそうなトラフィックを拾い出したり、サイバー攻撃に関わっていそうな怪しいソフトウェアを見つけ出したりするのは、決して容易な仕事ではない。

だから、サイバー攻撃における防御側の対処は、どうしても後手に回りやすい。つまり、実際に攻撃が発生したり、情報流出の被害が発生したりしてから、「原因はどこだ」といって調査に乗り出すパターンである。それが、見出しで書いた「泥棒が入ってから縄をなう」ということの意味だ。

軍事作戦の遂行に際しては、主導権を握れるかどうかというところがかなり重要なのだが、サイバー攻撃でも話は似たようなものだろう。対応が後手に回れば、否応なしに攻撃側に主導権を握られる。

すると、起きた事態への対処に忙殺されて、抜本的な対策を講じるのが遅れる事態にもなりかねない。それこそ、攻撃側が狙っていそうなところでもあるのだが。それだけに、できるだけ主導権を握らせないで手元に保持することが肝要となる。

では、そのために必要と考えられる「後手に回らない」ための対処とは何か。基本は早期察知であろう。航空戦の分野には「早期警戒機」、つまり空飛ぶレーダーサイトとしての役割を果たす機体があるが、それと似たようなものである。敵襲を早期に察知できれば、それだけ余裕時間が増えて確実な対応が可能になる。

Active Defence

そこで数年前から、確か米サイバー軍(USCYBERCOM : US Cyber Command)あたりが発端だったと思うが、"Active Defence" という考え方が出てきた。噛み砕いて書くと、「泥棒が入ってから縄をなう」代わりに、「泥棒が入ってきそうな段階で早期に察知して縄をなっておく」という考え方である。

"Active" なんていわれると、つい「殴られたら殴り返せということで、サイバー攻撃に対してはサイバー攻撃でもって反撃する」という意味なのかと早とちりしそうになるのだが、そうではないところに注意したい。

そこで重要になるのが、サイバー攻撃の徴候をいかにして早期に察知するかである。それを実現するには、どういった攻撃手法があり、どの攻撃手法ではどういう徴候が発生し得るか、というデータを蓄積することだ。それがなければ、徴候の察知も何もあったものではない。

たとえばRAT(Remote Access Trojan)を送り込まれた場合、RATは外部のコマンド・サーバにデータを送り出すはずなので、特定の、かつ本来なら用のなさそうなサーバを宛先とするアウトバウンドのトラフィックが発生するはずである。そういうトラフィックの存在を嗅ぎつけることができれば、RATの存在を疑う理由になる。

もっともそれ以前に、RATの送り込みにつながるような攻撃が発生しているはずなので、その段階で察知・阻止する方が望ましいのはいうまでもない。特定のWebサイトに誘導するとか、電子メールに添付ファイルをつけて送り込んでくるとか、手はいろいろ考えられるが、その時点で警報が鳴れば、その方がよいのである。

実際、日本の防衛関連企業を狙って標的型攻撃が仕掛けられたときにも、メーカーによっては不審なメールが来た時点で「これは変だ」となって攻撃を察知、社内に警告を発することで攻撃を阻止できた事例があったと聞いている。

もちろん、不正侵入やRAT送り込みといった事態につながりやすい、オペレーティング・システムやアプリケーション・ソフトウェアの脆弱性を、セキュリティ修正プログラムの適用で潰しておくことも重要である。

といったところで、最後にちょっとした余談を。

先に名前が出てきたUSCYBERCOMとは、米四軍(陸海空軍・海兵隊)のサイバー防衛担当部門を統括する統合軍(Unified Command)で、国家安全保障局 (NSA : National Security Agency) 長官がUSCYBERCOM司令官を兼任している。いわゆる「二つの帽子を被る司令官」だ。

この手の機能別統合軍としては、輸送軍(USTRANSCOM : US Transportation Command)や戦略軍(USSTRATCOM : US Strategic Command)もある。一方、地域別に四軍の部隊を統括する統合軍もあり、太平洋軍(USPACOM : US Pacific Command)、欧州軍(USEUCOM : US European Command)、中央軍(USCENTCOM : US Central Command)などがそれだ。中央といっても中央アメリカではなくて、中東の担当である。

執筆者紹介

井上孝司

IT分野から鉄道・航空といった各種交通機関や軍事分野に進出して著述活動を展開中のテクニカルライター。マイクロソフト株式会社を経て1999年春に独立。「戦うコンピュータ2011」(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて「軍事研究」「丸」「Jwings」「エアワールド」「新幹線EX」などに寄稿しているほか、最新刊「現代ミリタリー・ロジスティクス入門」(潮書房光人社)がある。