この数年くらい、Active Cyber Defense (能動的サイバー防御) という言葉が出回っています。

しかし、「Active Cyber Defense (能動的サイバー防御)とはなんぞや？」をちゃんと理解していない人が結構いるのではないか？という状況が散見されます。

SNSや各種記事を見ていると、「ウソつけｗ」という記事を割と見かけます。

概ね、言葉の感覚から「ワタシの考えた能動的サイバー防御」を勝手に展開している、って感じですかね。

 

では、現在(2024年6月時点)での Active Cyber Defense (能動的サイバー防御) の一般的に統一された定義とは何でしょうか？

答えは、

 

カオスwww

 

つまり、

 

無いよ、そんなもん。

 

です。

ええ。

無いんですよ、Active Cyber Defense (能動的サイバー防御) の統一された定義って。

つまり、Active Cyber Defenseは、それぞれの国、組織で定義する必要があり、それに基づいて実践していく必要がある、という状況になっています。

まあ、それなら、「ワタシの考えた能動的サイバー防御」も定義の一つではないか、と言われればそうなりますが、「それはあくまであんたの範囲だけだからな？一般論ではないからな？」ってことになります。

 

結論から言うとこうなんですが、まあどうしてこうなったってこともあると思うので、収集した情報を整理・展開していこうと思います。

なるべく客観的に資料を集め、それについて合理的なコメントをしていきたいと思います。

なお、元ネタは、とあるカンファレンスで発表しようとCFPに応募していたものの、残念ながら落選してしまったため、お蔵入り予定だった資料からの抽出（供養）となります。

（正直、日本ではこれを議題にしたくないんだよなぁ・・・主に民度の問題で。）

 

 

日本語の資料をさがしてみた

とりあえず、日本語の資料を探してみました。

研究をされている方々が色々公開しておられるほか、国・政府として出した文書についても触れたいと思います。

なお、引用した記事等は、書かれた時点での社会的な状況やそれを踏まえた筆者の意見であり、現在の主張は異なる可能性があることはご了承ください。

また、氏名の敬称は省略させていただいています。

 

 

「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について―

JPCERT/CC, 佐々木 勇人, 2022年9月

 

 

JPCERT/CCの方が書かれた資料です。

恐らく、初めて Active Cyber Defense について日本語で読みたいなら、ここから入ってざっくりなイメージを得るといいのではないかと思います。

いきなり、海外の複数の論文を読んだら、きっとカオスで混乱してぶっ倒れます。

なお、これを読んだ後に海外の文献を探して読んでも、結局頭抱えることになります（経験者は語る）。

 

（私の雑感）

ポイントとしては、組織によって用語のニュアンスが違っていることについて軽めに触れて紹介していることと、「Active Cyber Defense」と「Hack Back」や「Offensive Operation」を分けていることですね。

なお、図では「Hack Back」と「Offensive Operation」にも「アクティブ・ディフェンス？」と書かれていますが、これは軍事用語での「Active Defense」の意味合いに入ってくる、ということかと思います。

 

後半では、具体的な方法や考え方が述べられています。

基本的には、攻撃者の動向や手法（Intelligence）を元に、攻撃を受ける前に対策を講じていく、ということが述べられています。

これを読んで気づくべきことは、このドキュメントで考えている Active Cyber Defense を実施するには、対策を打つことができるセキュリティ環境が既に整備されており、かつ Intelligence を収集できる能力・環境があることが大前提となります。

そのうえで、日々の運用で実施していかなければいけません。

これは、Active Cyber Defense の重要性の理解、自組織での定義作成、環境整備と情報収集と、様々なハードルがあることを示しています。

 

 

「能動的サイバー防御」は効果があるのか？ ～注目が集まるoffensiveなオペレーションの考察～

JPCERT/CC, 佐々木 勇人, 2023年8月

 

 

同一著者が、続きで書かれた記事です。

以前の記事に比べ、もう少し戦略的な考え方と意味合いについて解説しています。

具体的なサイバー防御の方法論や技術を得たい、と思っていた人には、ちょっと肩透かしになるかもしれません。

 

（私の雑感）

<概要>に書かれている文章が、重要なことを数行でまとめていてとてもイイですね。

Offensiveにも少し触れていますが、正直これは一般の国民が実施できるものではなく、国・政府として対処する必要があります。

理由として、法的問題が生ずる、警察権や国防（安全保障）に関わる、外交的措置が必要になる、といった項目に１ないし複数関わるからです。

「積極的サイバー防御／アクティブサイバーディフェンス／能動的サイバー防御というものは、長期的にいかに攻撃者にサンクコストを累積させるかというアプローチであり、長期戦／消耗戦である」とあるこの文章がイイですね。

アメリカで「Cyber deception」などという表現がされますが、単純にサイバー攻撃者を騙すというだけでなく、攻撃者にとって分かりにくく複雑化することで攻撃に時間とコストをかけさせて、その間に防御側が対処する、という考え方です。

攻撃者もリトライしたり、複数の攻撃者がいたりするので、長期戦になるため、それを見越した体制づくりも必要です。

私は、先にも述べた「セキュリティ環境が整備済みかつ Intelligence 収集能力」が無ければ、ハナシにもならん、と思いますね。

 

 

国家安全保障戦略(2022)パンフレット

日本国政府, 2022年12月

https://www.cas.go.jp/jp/siryou/221216anzenhoshou/national_security_strategy_2022_pamphlet-ja.pdf

 

日本政府として閣議決定された国家安全保障戦略です。

この中で、「能動的サイバー防御の導入及びその実施のために必要な措置の実現に向けた検討。」という言葉が出てきたため、日本でも Active Cyber Defense を始めるのか、ということで話題になりました。

ただし、能動的サイバー防御 (Active Cyber Defense) は共通化された定義はないのですが、この文書には「能動的サイバー防御」の定義は出てきません。

 

（私の雑感）

少なくとも「能動的サイバー防御」に関しては触れるだけで、やってる感だしているだけで中身のないクソ文書。

少なくともサイバーセキュリティに関しては、政治家と官僚はここまで無能しかいないのかと呆れたかな。

能動的サイバー防御で何を対象として、何をする方針かを決めるのは、政府の仕事では？

「能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター（NISC）を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。」といって丸投げしているが、まさか能動的サイバー防御の定義や範囲、それに関する法律の整理と法改正の検討まで NISC にやらせるつもりですかね？

この内容ってもう「政策」なので、政治家が責任もって取り組む範囲だと思うが・・・？

なお、NISCについては、2024年6月時点のHPでは「NISCの主な所掌事務は、サイバーセキュリティ戦略本部の事務局としての役割のほか、行政各部の情報システムに対する不正な活動の監視・分析やサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助、監査等を行うとともに、サイバーセキュリティの確保に関する総合調整役を担っています。」となっており、政策立案等を行う組織じゃないと思いますけどね？

2022年末に出されたものの、1年半くらい能動的サイバー防御についてこれといった進捗はみられませんね（理由は・・・察しろ！）。

とりあえず、我が国の政府が定めた「能動的サイバー防御の定義」を誰か教えてクレメンスw

 

 

コラム第７５０号：「新・安保3文書と法的課題」

デジタル・フォレンジック研究会, 湯浅 墾道, 2022年12月

 

 

Active Cyber Defense について、法的問題について言及した記事。

いくつかのケースを挙げ、どのような法律に関わるか、現行法の解釈で対応できるか、などを示しています。

 

（私の雑感）

法的問題については、海外でも指摘されており、Active Cyber Defense でどのような法令が影響するか、どのように法改正されるべきかが論議されています。

Active Cyber Defense を先進的に進めているアメリカやイギリスでは、論議が行われたり法改正が始まっているようです。

法律の論議をするなら、Active Cyber Defense の対象が何で、どのような行為を行い、それがどのような法律に違反するか、どのように改正すれば問題は解決するのか、を整理しなければいけないのですが。

で、我が国の Active Cyber Defense の対象（定義）って何？

 

 

Active Cyber Defense の背景と論点 (Ver.2.0 2023.11.18 掲載) (ホワイトペーパー)　

サイバーディフェンスイノベーション機構 研究部会, 監修・三宅　功, 2023年11月

 

 

https://cydef.net/wp-content/uploads/2023/Document/20220802_cgjournal_vol14.pdf

 

CYDEF2023のテーマ「アクティブサイバーディフェンス(Active Cyber Defense)の国際連携」に向けて取りまとめられた資料。

カンファレンスに先立ち、サイバー攻撃の状況等の背景や現在の規範、海外の Active Cyber Defense に関する動向、Active Cyber Defense の概念や論点の整理と考えられる実行プロセスおよびその課題、といった内容が網羅的に整理されています。

 

（私の雑感）

私は Active Cyber Defense を専門的に扱っているわけではないので、当該カンファレンスには参加していなかったものの、興味深い内容だと思います。

ホワイトペーパーだけでも結構な分量がありますが、これを一通り読み、さらに参考文献まで目を通せれば、かなり広く正確に理解できるのではないかと思います（私の駄文を読む必要が無くなりますよ！）。

HPのホワイトペーパーの紹介にも、「しかしながら、Active Cyber Defenseに関する明確な概念や方法論などは必ずしも我が国含め明確にはなっていない状況です。また、サイバーセキュリティに関する議論は、単なる技術論だけでなく国家戦略と政策、国際関係、法律など多様な観点で議論する必要があります。」とあり、この指摘はまったくもって同意です。

私としてちょっと気になったのは、欺瞞情報の利用やハックバックの話題も少し触れていますが、これを Active Cyber Defense に含むのか、Offensive という別の括りにしてしまったほうがいいか、という議論もあり、私はどちらかというと Offensive という振り分けにしたほうがいいのではないか、と考えている派ですね。

また、Active Cyber Defense の技術的な解決法の一つとして、主にアメリカで研究が進められている Cyber Deception にももうちょっと触れてほしかったかな、とは思いました。

 

 

日本語資料を探してみた感想

「能動的サイバー防御」で検索してみると、マスメディアや企業のHPの記事も多くヒットします。

今回は、その中でも、より多くの情報を収集した上で、専門家の視点から客観的に集約して説明していると感じたものをピックアップしてみました。

初めて能動的サイバー防御 (Active Cyber Defense) に触れるため、概要を5～10分でざっくり把握したい人にはJPCERT/CCの佐々木氏の記事が正確性も担保しつつ要約されていて良いかと思います。

より深く掘り下げるならば、サイバーディフェンスイノベーション機構のホワイトペーパーを一通り読んで理解した上で、海外の文書を中心に情報を収集するのが良いかと思います。

正直日本ではまだ論議自体がそれほど進んでいない印象で、しっかり研究された論文や具体的な提案は見つけられませんでした。

法律系に関しては、デジタル・フォレンジック研究会の湯浅氏の指摘や考え方が有用ではないかと思います（すいません、私自身が法律に疎いです）。

私は海外の資料もちょっと目を通していますが、日本語の資料なら以上を一通り読めば2024年現在での Active Cyber Defense の正しい知識や状況把握ができるのではないでしょうか。

 

以上の結構重厚な論議を見たうえで国家安全保障戦略(2022)を見ると・・・。

やっぱり、中身薄く感じません？

「能動的サイバー防御」という文字列はだしているものの、それが何を対象とし、何を行うのかを示しているようにはみえませんでしたね。

いままで以上にサイバー防御をやらなきゃいけない、という玉虫色のお題目と、NISCに丸投げしてるだけかな、という薄っぺらい感想しかありませんでした。

アメリカ、イギリスあたりと比べると、本腰をいれるのはまだまだ先になりそうです。

 

 

次回は、Active Cyber Defense が比較的進んでいると言われる、アメリカとイギリスのドキュメント等を整理して紹介したいと思います。