2024年時点でActive Cyber Defense について、論議と実践が進んでいると判断した、アメリカとイギリスについて、どのように定義をしているのかを調べてみました。
流石に、全てのドキュメントを網羅しているわけではありませんが、見つけることのできたドキュメントでかつ内容にある程度根拠がある、または信頼できる組織の発表にフォーカスしました。
それ以外の国については、進んでいる云々というより、私の情報収集能力が高くないのと、日本語と英語以外のドキュメントはろくに読めないため収集できていないだけですので、そこは誤解無きようお願いします。
サイバー関連の行動の振り分け
Active Cyber Defense は定義が必要!と前回記事から書いてきたわけですが。
では、定義どうやってやるといいの!?という話になりますね。
私としては、「できるだけ可視化したら分かりやすいのではないか」と考えています。
100%正しいものとは言わないまでも、ある程度正しいイメージを持たないと、理解が進まず入口でコケてしまうでしょう、ということです。
そんなわけで、以下のような図を作ってみました。
(見づらければ、画像を原寸で拡大表示してください。)
左側をDefensive(受動的)な対処、右側をAggressive(能動的)な対応、で振り分けてみました。
多少異論はあるかもしれませんが、この記事では納得してください。
(嫌なら自分で作ろうねw)
以降、様々な文献について、この図に当てはめるとどうなるか、をベースに解説してみます。
海外のドキュメント調査 (その1)
海外のドキュメントを調べてみました。
論文などの場合、正しい理論というより提案というものもあり、絶対的に正しいものとは限らない点には留意してください。
Department of Defense Strategy for Operating in Cyberspace (US)
DoD, 2011年11月
アメリカ国防総省の2011年のドキュメント。
文書の右下のページ番号でP6で
DoD will employ an active cyber defense capability to prevent intrusions onto DoD networks and systems.
(国防総省のネットワークおよびシステムへの侵入を防ぐために active cyber defense 機能を採用する。)
と書いています。
そして、具体的な対象をP7に書いています。
Active cyber defense is DoD’s synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities.
(Active cyber defense は脅威と脆弱性を発見、検出、分析、緩和するための国防総省の同期されたリアルタイム機能。)
という文章があり、その前後の文章で対象をセンサー、システム(恐らくサーバ、エンドポイントなどの各機器と捉えてよいと思う)としています。
また、防御のために、センサー、ソフトウェア、インテリジェンスを活用するとしており、最終的な目標は国防総省のネットワークとシステムに影響を与える前に悪意のある活動を検出して停止することとしています。
平たくいうと、「リアルタイムのネットワークや端末の監視やインテリジェンスを利用して、システムに実害が出る前にサイバー攻撃を発見して止める」ということです。
提案した図に当てはめると、以下のようになります。
文書を読めば分かりますが、少なくとも2011年の アメリカ国防総省の文書では、Active Cyber Defense の対象として Hack back や Counterattack には触れていません。
あくまで、自組織のサイバー関連の防御をリアルタイムに、かつ様々な方法を用いて行う、ということで「(当時の他の方法と比べて)能動的に」行う、というニュアンスだったことが分かります。
この文書では、Active Cyber Defense として「センサー」という言い回しがあったので、少々広めの解釈ですが Deception や Honeypots も含めました。一方、レジリエンスやデータ保護にまでは言及していませんでした。
Framework and Principles for Active Cyber Defense (US)
Naval Postgraduate School, Dorothy E. Denning, 2013年12月
アメリカの海軍大学院の論文。
考え方のベースラインは、既に確立している防空・ミサイル防御での考え方をサイバーの世界に転用するというものです。
この経緯から、Cyber Defenseを、Active Cyber DefenseとPassive Cyber Defenseを真っ二つに分類しています。
「Active Cyber Defenseは、友軍の部隊やassetに対するサイバー脅威の効果を破壊、無効化、または軽減するために行われる直接的な防御行動」
「Passive Cyber Defenseは、友軍および資産に対するサイバー脅威の有効性を最小限に抑えるために講じられる、Active Cyber Defense以外のすべての措置」
この論文の内容を鑑みて、提案した図に当てはめると、以下のようになります。
この論文では、なんとAntivirus(Anti-malware)やIPSなどもActive Cyber Defenses に分類しています。
具体的には、P3の「Active and Passive Cyber Defense」の冒頭で、
Many popular security controls employ active cyber defenses.
(多くの一般的なセキュリティはactive cyber defensesを採用している。)
と書いており、この後には例として、
Anti-malware systems, intrusion prevention systems (IPSs), and firewalls block malicious software and packets matching threat signatures or exhibiting anomalous behavior.
(アンチマルウェア、IPS、ファイアウォールは、不審な動きをする悪意あるソフトウェアやパケットをブロックする。)
と書いています。
この論文の筆者の考え方からすれば、サイバー攻撃に関する行動に対し、何らかの対処を行うのは全て Active Cyber Defenses であると定義しているわけです。
このため、Hack back や Counterattack のような相手への直接攻撃はもとより、Anti-malwareなどもミサイルを迎撃するようなものだからそれもアクティブの一種だ、と捉えられるということです。
この定義を採用するなら、「随分前からAnti-virusソフトは入れているので、私はもうとっくに Active Cyber Defense を実践しているんだぜ!」と言えなくもないですね。
だから定義は重要、と言っているわけです。
In Discussion with Curt Dukes (IAD) - Overview of NSA's Cyber Security Mission
National Security Agency/Central Security Service (NSA/CSS), 2015年10月
アメリカ国家安全保障局の2015年10月付の記事。
記事の中で、「私たちは Active Cyber Defense という取り組みを導入しました。」という形でActive Cyber Defense に触れています。
Active Cyber Defense については、以下のように述べています。
Active Cyber Defense is an architecture which enables the integration, synchronization, and automation of cyber event detection and mitigation through the use of real-time sharing of indicators of compromise across all layers (tiers) of network defenses. Each layer of this architecture provides unique detection capabilities, and leverages the cloud for advanced analytics and fusion with multiple sources of threat intelligence. Deployed countermeasures are the result of analysis conducted locally on the sensor and via the cloud. In either case, indicators and countermeasures are widely shared and deployed to provide a layered defense.
少し長いですが、簡単にまとめると、「ネットワークの全レイヤーの攻撃の兆候をリアルタイムで共有し、サイバーイベントの検知や対処を統合・自動化する。分析と脅威インテリジェンスを融合するためにクラウドを活用する。」といったところでしょうか。
この内容を提案した図に当てはめると、以下のようになります。
検知と分析、それに関するインテリジェンスについて触れている一方、いわゆるレジリエンスや脆弱性管理には触れていません。また、Cyber Deseption を始めとした攻撃に関する情報収集についても明確には触れていません。
サイバー防御の連携とリアルタイム性に重点が置かれていることが読み取れます。
Deep Web/Dark Netについても触れてはいませんが、インテリジェンスを重視しているので一応含めておきました。
NIST glossary (US)
DSOC, 2011年 (2024年6月確認)
NISTのホームページの用語集に書かれた定義。
元々、DSOCによって2011年に定義されたものを引用しているようです。
(ホームページが将来更新される可能性があるので、参照時の画像を保存)
定義は以下の通り。
Synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities.
(脅威と脆弱性を発見、検出、分析、軽減するための同期されたリアルタイム機能。)
シンプル。
むしろシンプル過ぎるので、この定義だと狭くなる感じはします。
こちらの定義も、サイバー防御の連携とリアルタイム性を重視していることが読み取れます。
この内容を提案した図に当てはめると、以下のようになります。
NSAの定義と似ていますが、インテリジェンスへの言及が無いので、少し狭い感じかと思います。
Cybersecurity Incident & Vulnerability Response Playbooks
Cybersecurity and Infrastructure Security Agency(CISA), 2021年11月
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が2021年11月付で出したドキュメント。
「Playbooks」となっていることから分かる通り、概念だけでなく具体的にこうする、ということを書いた文書となります。
P8 の「Active Defense」では、以下のように触れられています。
FCEB agencies with advanced defensive capabilities and staff might establish active defense capabilities—such as the ability to redirect an adversary to a sandbox or honeynet system for additional study, or “dark nets”—to delay the ability of an adversary to discover the agency’s legitimate infrastructure. Network defenders can implement honeytokens (fictitious data objects) and fake accounts to act as canaries for malicious activity. These capabilities enable defenders to study the adversary’s behavior and TTPs and thereby build a full picture of adversary capabilities.
簡単に要約すると、「攻撃者が情報を発見するのを遅らせるために、サンドボックスやハニーネットシステムといった組織内に仕掛けたダークネットにリダイレクトするような active defense を構築する。防御側は、それをカナリヤトラップとして利用できる。この機能を利用して敵の行動を研究し、能力の全体像を知ることができる。」といったような内容です。
この内容を提案した図に当てはめると、以下のようになります。
ガッツリ Cyber Deception 系にフォーカスしている感じになります。
ただし、これは「Playbooks」となっているため、実装すべき具体的な機能の提案となっている点に注意です。
つまり、「全体としてはもっと広い Active (Cyber) Defense の概念はあるが、Playbooks として実践に関してはここだけ触れた」という可能性もあるので、そこは留意が必要です。
これについては、この文書に書いてないので分からないため、確実な部分を図示すると上のようになります。
感覚的には、上で紹介した DoDの文書の「センサー」に当たりそうかな、という感じはします。
アメリカはサイバーセキュリティが進んでいる国であり、IPS/IDSやFW、Antivirus、EDR等は既に導入、整備済みであることは前提なのかもしれません。
なお、我が国 (ry
IMPLEMENTATION OF ACTIVE CYBER DEFENSE MEASURES BY PRIVATE ENTITIES: THE NEED FOR AN INTERNATIONAL ACCORD TO ADDRESS DISPUTES
NAVAL POSTGRADUATE SCHOOL, Isaac A. Barnes, 2018年12月
Passive Cyber Defense では十分でないとし、 Active Cyber Defense を採用するための行動方針を検討した論文。
Active Cyber Defense に関する国際法(ブダベスト条約)や国内法といった法的問題の整理や組織創設、改変に関する提言を行っています。
例として、架空の会社がサイバー攻撃を受けた際に調査を行ったケースを想定し、厳密にはどのような法律に触れてしまう可能性があるかを考察している。
その問題解決として、国の機関と民間機関で許容される範囲の違いの確認や必要な法改正、国の機関がすべき内容の明確化を目指した内容となっています。
論文の結論としては、将来は民間企業も Active Cyber Defense に参加できるようにすべきであり、そのために立法府は不明確な点を法整備により合法化し、行政機関は新たな機関を創設すると共にACDC 法で定義されている Active Cyber Defense の採用に関する合意形成をし、NATOは国家間のサイバー紛争に対応できるようになる必要があり、民間企業は Active Cyber Defense の実装技術を開発する必要があるとしています。
この内容を提案した図に当てはめると、以下のようになります。
この論文では、この機能・行為がActive Cyber Defense だ、と明確に定義しているわけではありませんでした。
このため、私なりに論文の意図を解釈して線を引いたため、点線で表記しました。
他の定義よりガッツリ右側に寄っているように見えますが、これはそもそも論文が「Active Cyber Defense として、何をやったらどのような法に触れるか」を主に論じているため、考察の過程でおのずと右側中心となるわけです。
(この図の Active Cyber Defense に含まれるものを実行しろ、と書いているわけではないことに留意。)
根底には、「アメリカの現行法(論文が書かれた2018年)では、Active Cyber Defense Certainty Act (ACDC法)が可決されなければ、自身のネットワークの外で行われるactive cyber defenseは CFAA(Computer Fraud and Abuse Act of 1986:コンピュータ詐欺および悪用法) の下で違法となる。」という問題がありました。
*Active Cyber Defense Certainty Act (ACDC法)は、その後廃案になった模様。
組織内のネットワークへのアクセス、あるいは一般的に許容される情報収集はこの時点でアメリカでは合法のため、問題にはならないので線の外にしました。
Hack back や Counterattack に関しては、この論文でも単純に容認しているわけではありません。
これらは、国の安全保障の問題である以上、国の機関で検討、対処する必要があることや、権限のある国際機関ならば合法になるのではないか、といった点で議論する必要があるでしょう。
論文では、Legislative Branch (立法府)、Executive Branch (行政機関)、NATO、Private Sector (民間)それぞれの立場で行うべき論議や行動について整理し、実行を訴えています。
ちょっと長くなってきたので、一度ここで区切ります。
次回、同様にいくつかの文献を参照し、定義を振り分けてみたいと思います。