能動的サイバー防御法の成立について（雑感）

サイバー攻撃を未然に防ぐ「能動的サイバー防御」導入に向けた関連法が5月16日に参院本会議で可決されました。まだ具体的な詳細は判りませんが、その内容や背景について、ちょっと考えてみたいと思います。

まず名前から。「能動的サイバー防御」はActive Cyber Defenseの直訳です。「能動的」という言葉は、英語の直訳以外では日常あまり見かけません。職場で上司から「鈴木君はいつも能動的だ」なんて褒められたら、本当に褒められたのかどうかさえよくわかりません。周りの人は皆、「衝動的」と聞き間違えて、そのまま妙に納得してしまうかもしれません。

ActiveはPassive（受け身）の反対語で、要するに攻撃されるのを待つのではなく、こちらから仕掛ける、つまり、攻撃を受ける前に対処する、ということです。英語では、この文脈で、むしろReactive（起きたことに反応する）に対するProactive（ことが起きる前に対策を講じる）という言葉のほうがよく使われます。

「能動的サイバー防御」導入法は、（1）官民連携の強化（2）通信情報の監視（3）攻撃元サーバーへの侵入・無害化、を柱とする取り組みだと報じられています。このほか、電気、航空、放送、金融など15業種の「基幹インフラ」事業者に対し、被害報告の義務化も盛り込まれているようです。

関連ニュース記事をいろいろ読むと、特に（3）攻撃元サーバーへの侵入・無害化、がどの記事でも強調されています。これまで憲法に抵触する可能性のあった、相手サーバーへの侵入を可能にする、ということが今回の新法制定の主目的のように受け取れます。もしかしたら、銀行のシステムがDDoS（Distributed Denial of Service）攻撃でダウンした際に、警察がIPアドレスから犯人を追跡しようとして憲法の壁に突き当たり、新法制定への機運が高まったのかもしれません。

でも、それは「能動的サイバー防御」ではなく、事件が発生してからの対応（Reactive）です。「攻撃元」と言ってしまっている時点で、攻撃された後の対応の話なので、今回の新法からは少しずれている気がします。別にそれが悪いというのではなく、それはそれで非常に重要なことなので、新しい取り組みがスタートしたのは大変良かったと思います。

ただ、「攻撃元サーバー」というのは、往々にして犯人とは無関係の、どこかの誰かの感染したコンピュータだったりしないでしょうか。その感染経路をたどるとなると、そのどこかの誰かのコンピュータに直接ハッカーが侵入したわけではなく、どこかの誰かが単にメールのリンクをクリックしただけかもしれません。そのメールも犯人から送信されたものではなく、どこかの誰かが・・・これ以上は繰り返しになるのでやめておきます。心配なのは、その繰り返しが果てしなくて、せっかく新法が成立しても警察の捜査が大変なのではないかという点です。ましてや、今回の新法で強制捜査が可能になるのは、海外が関わる通信に限定されるようなので、感染経路の一部分が日本国内のコンピュータ同士だった場合、そこで捜査が行き詰るのでしょうか・・・？もちろん、専門家はそこのところを十分心得ていて、すでに画期的な戦略が構築されているか、そうでなくても、それなりのプランが練られていることと思いますが…

そもそも、Active Cyber Defenseの肝はThreat Intelligenceなのかと思っていました。「脅威インテリジェンス」と訳されますが（この直訳もどうかとは思いますが）、ハッカーがサイバー攻撃にAIを駆使し出した昨今、それに負けじと防御側もサイバー攻撃の脅威に関する情報をAIに学習させ、検知能力や危機察知能力を高める、というのが重要コンセプトなのではないかと。

加えて、脅威インテリジェンスによって、サイバー攻撃のプロセスを高確率で想定することができれば、攻撃のもとを絶つことができます。このような攻撃プロセスを英語ではKill Chain（キルチェーン）と呼び、それを途切れさすことをDisrupt the kill chainと言ったりします。

情報分析を通じて、何が狙われやすいのか、どこから侵入されやすいのか、などのリスクを分析し、一つ一つのリスク（ハッカーの狙い目）をつぶしていくことで、攻撃を成立できなくすることができます。それこそが、まさにProactive Defenseです。

この観点から言えば、基幹インフラ事業者に対する被害報告の義務化は画期的なことで、これから徐々に情報分析力が高まって、真に「能動的」な防御策が構築されることを期待したいと思います。

以前、国内企業のサイバー攻撃被害件数の変遷を調べていて、数字が資料によってまちまちなことに気が付きました。こういう被害は公表しても特によいことがない、と考える企業も多かれ少なかれあったのかもしれません。個人情報が盗まれたのなら、顧客に対する説明責任や賠償責任がありますが、ランサムウェアの身代金を払ってデータをすべて回復できたからそれでよしとした企業があっても不思議ではありません。これからは、情報を共有することで脅威インテリジェンスを高められるという利点が広く認知され、すべての業界が一丸となってサイバー攻撃に対処する体制ができることが理想的です。

ちなみに、近年サイバー攻撃の大半はランサムウェアだそうですが、日本政府はむしろ基幹システムをダウンさせられることをいちばん恐れているようです。コンピュータウイルスやマルウェアの感染に端を発するサイバー攻撃は、前述のように、攻撃元サーバーを追求するのが難しい気がしますが、たとえば、基幹システムの管理者アカウントにブルートフォース攻撃（brute force attack）を仕掛けてログインを試みた通信があったとしたら、それは確かに直接の攻撃元（つまり、犯人そのもの）の可能性はゼロではありません。

一般企業としては、やはりランサムウェアの脅威のほうが大きくて、そのためには、企業システムにアクセスするすべてのスタッフが誰一人としてマルウェアに感染しないことが最大の防御となります。だから、政府任せではない企業単位の「能動的サイバー防御」は、社員教育やまめなシステムアップデート、必要最小限のアクセス権限の割り当て、などが重要です。そこに、脅威インテリジェンスを取り入れて、モニタリングを強化することも、今後ますます重要な課題となっていくでしょう。