「アクティブディフェンス」と「アクティブサイバーディフェンス」の違い
自民党総裁選に出馬した高市早苗氏は、2021年9月8日に行った出馬会見の中でサイバーセキュリティ対策の強化の必要性について強調した。サイバー防衛対策の樹立と高度化を急いでいく必要があります。迅速な攻撃者の特定と、場合によっては金融制裁などの政治的な反撃が必要になります。サイバー空間での反撃も必要になるかもしれません。これは「アクティブディフェンス」として、長年にわたって政府で議論してきました。このようなことを行うためには新しい法律が必要です。(2021年9月8日出馬会見より)
高市氏の主張内容については、本稿においては主題ではなく、特別言及するような点はないが、結果として支持者やメディアが「アクティブディフェンス」やサイバーセキュリティに関して間違った認識を広めている点に着目したい。
まず問題なのは「アクティブディフェンス」(AD)と「アクティブサイバーディフェンス」(ACD)の混同とそれぞれの誤用だ。
前提として両者は「ディフェンス=防衛・防御」が主題である。また、アクティブサイバーディフェンス(ACD)はこのうちサイバー空間に限った話で、基本や情報収集と共有の枠組みがメインテーマとなる。また、本来の趣旨や議論を、自分の思想や思惑のバイアスによって拡大解釈し、サイバーセキュリティは新しい秘密兵器か何かと勘違いしているような意見も見かける。
誤解や誤用はどうして生まれたのか。まず用語を整理したいのだが、そもそもADやACDについて明確な定義が難しい。軍事用語でもありセキュリティ用語でもある。立場によってはマーケティング用語にさえなる。文脈によって対象とする範囲も異なる。ここでは、DoD(米国防総省)とNSA(国家安全保障局)の定義を参考にする。
・アクティブディフェンス
DoDのもとに進められた用語集プロジェクトの成果物では、ADを次のように定義している。
The employment of limited offensive action and counterattacks to deny a contested area or position to the enemy.
(敵対エリアまたは敵対勢力を無効化する、限定された攻撃および反撃行動のこと)
この定義では、サイバー空間か否かは規定されていない。通常ADといった場合、リアル空間の物理攻撃とサイバー空間のサイバー攻撃の両方が含まれる。つまり、テロのリーダーをドローンで暗殺するのも、後方から交戦エリアの敵拠点をミサイル攻撃するのも、敵基地のサーバに侵入してデータベースを消去するのもアクティブディフェンスに分類することができる。
通常の攻撃との違いは、自分たちのリソースについてなんらかの脅威が差し迫っている、さらされている状態を守ることが前提にあると考えるのが自然だろう。
・アクティブサイバーディフェンス
ACDはADの一部でもあるため、広くACDと言った場合、簡単なものはポートスキャンやOSINT(オープンソース・インテリジェンス)のような情報収集から、相手サーバのテイクダウン、サーバへの侵入・ハッキング、ネットワーク妨害、データや制御機器の破壊まで含まれる。NSAのページでACDを検索すると以下の定義がされている。
Active Cyber Defense (ACD) is a component of the Department of Defense's (DoD) overall approach to defensive cyber operations.
(ACDは、国防総省の防衛的サイバー作戦全般に対する取り組みの構成要素である)
ここからACDはADのうちサイバー空間に関するものと判断できる。ただし、続く文章で「ACDの機能とプロセスは、連邦政府、地方政府、その関連機関、インフラ事業者や産業界の支援に適用され、脅威情報の検知と分析と各種アラート、対応アクション等の自動的な情報共有が重要である」とも述べている。
ACDにおいて攻撃的対応はメインではない
まとめると、ADは防御の延長で行われる物理的な攻撃や軍事行動を示す用語だ。しかし、ACDは、このうちサイバー空間に限ったもので、活動の主眼は脅威情報の積極的な取得や調査、情報共有にあるといえる。重視しているのは、情報分析により攻撃や脅威の兆候を掴むこと、適切なアラートを上げること、特に組織やセクターを超えて情報を共有し備えることだ。つまり、ACDといった場合、相手基地のサーバに侵入してそれを無力化したり、マルウェアを発動させたり、制御装置を遠隔操作したりすることは、ACDのオプションの1つだがメインではない。攻撃的なACDは、いわば不正アクセスであり不正指令電磁的記録(マルウェア)による攻撃である。防御や予防的措置の文脈があったとしても、オペレーションとしてはハッキング、またはサイバー攻撃である。
セキュリティの視点に立つなら、ACDはせいぜいサーバテイクダウンや第三者システムのマルウェア除去くらいまでで、それより攻撃要素が強いものは海外でも法的に禁止されており一線を画すべきだ。重要インフラや国民を守るためどうしても必要なら、超法規的措置や国際ルールや法の枠組みで別の方法(立法)を考えればよい。
この点、高市氏の主張は、そういった法的措置がとれない現状を憂いて法整備を主張するもので、それ自体に問題はない。しかし、ADとACDを混同して議論を進めてしまうと、余計な誤解を生んでしまううえ、最終的に大きな齟齬が生じかねない。その点について、次ページから発言のベースになったと思われる氏のホームページのコラム記述で検証してみたい。
【次ページ】アクティブディフェンスを「サイバー」で矮小化する危険
からの記事と詳細 ( 高市氏が語った「アクティブディフェンス」とは?サイバー攻撃強化と混同しやすい理由 - ビジネス+IT )
https://ift.tt/3kHIqRX
No comments:
Post a Comment