アーカイブ動画
サイバーセキュリティにおける防御モデルの変遷
株式会社日本総合研究所
セキュリティ統括部
シニアエキスパート 伊藤 良孝氏
最初に登壇した伊藤良孝氏は、国内初となるSOC(Security Operation Center)の開設、アプリケーションセキュリティに特化した情報セキュリティ専門企業の設立など、数々のセキュリティ事業に携わってきた国内におけるセキュリティ分野のパイオニアだ。現在はセキュリティのシニアエキスパートとして、若手の育成などにも従事する。
伊藤氏はまず、日本総研のセキュリティ部門の体制や業務について紹介した。同社はSMBCのグループ企業であることから、セキュリティ施策を同グループで一体となり取り組んでいる。
組織は伊藤氏が所属するセキュリティ部門、シンクタンク部門など、大きく5つの部署から構成される。フィッシングサイトの監視、各種インテリジェンス業務など、金融業ならではのセキュリティ施策も担う。
施策の一例として紹介されたのは、ウクライナ紛争開戦時における地政学的インテリジェンス収集例だ。アメリカの空母の位置をOSINTしていた伊藤氏らは、通常とは異なり長く地中海に停滞していることに違和感を覚えたという。
すると不安どおり、アメリカ政府はロシアがウクライナにいつ侵攻してもおかしくないという警告を発した。北方領土界隈では、ロシアが多数のミサイル訓練海域を設定。さらに情報を収集すると、ロシア軍がウクライの国境付近に集結していることが分かった。
この段階で伊藤氏らは監視体制を強化するなど、緊急警戒態勢を部内に発する。ロシアがウクライナに攻撃を開始する2日前のことだった。ロシアはウクライナへの攻撃を開始。伊藤氏らはグループ全社へサイバー攻撃の注意喚起宣言を行うことを関連部門に進言、グループ全社の緊急対策室が設置された。
経済安全保障の概念は、各分野の研究者や専門家により異なる。伊藤氏は、国際政治学者、法曹界の関係者などの見解を示し、セキュリティエンジニアの視点からの見解を次のように述べた。
「2010年代後半から本格化した、ゼロトラストモデルの実装の結果として必要になった新たな防御境界であると認識しています」(伊藤氏)
そしてなぜこのような見解に至ったのか。サイバーセキュリティの防御モデルから考察していった。
サイバーセキュリティにおける防御モデルとは、攻撃者から情報資産を守るためのものであり、時代の変遷や攻撃者により、概念的なモデルがさまざま存在する。そしてそのモデルのほとんどが、軍事分野における防御モデルに起因している
最も基本的な防御として伊藤氏が紹介したのが「境界防御モデル」だ。軍事的な防御形態に由来しており、防御境界を形成することで、中にいる人や情報といった資産を守る。
そしてこの「境界による防御」という考え方は、情報セキュリティ分野において様々に変遷した防御モデルの全てに共通する基本的な考え方であることを協調した。
サイバー領域での防御境界は、ルーターやファイアウォール等によるアクセス制御が該当する。防御境界を設けることで外部・内部領域を分け、外部からの新入を阻止する。伊藤氏はこの防御境界を「Boundary Gap」と表現し「非常にシンプルな考え方であり、初期の防御モデルはネットワーク単位での防御を基本とするものであった」と述べた。
伊藤氏は、防御境界、Boundary Gapの機能「検知・防御・記録」についても説明し、次のように述べた。
「これら3つの機能は、現在推奨されている防御モデルであるゼロトラストモデルの基本機能である認証、認可、監査機能とまったく同じことです」(伊藤氏)
境界防御モデルは、脅威の実態が明確に定義されていない状況でのモデルということで、問題点もあった。Boundary Gapの高さが方向によって異なる、攻撃や検知は防御境界でしかできない、攻撃によっては防御境界をすり抜ける可能性があるということだ。
そこでより強い防御境界にするために考えられたのが、多層防御の概念である。この防御モデルも古代ローマ軍の防御形態に由来しており、防御境界を多層に設けることで脅威を防ぐという考え方である。
そして、この多層防御の概念を情報通信の収集や分析を担うアメリカ国家安全保障局(National Security Agency/NSA)が、サイバー領域に応用していく。NSA本来の多層防御の考え方は、人(People)、技術(Technology)、運用(Operation)の側面から複数のBoundary Gapを設ける構成だ。
しかし、多層防御という概念が出現した時期はセキュリティ分野における製品市場の開花期に当たったため、主に技術的側面に注目があたり、ファイアウォール、侵入検知/予防システム(IDS/IPS)、ウェブアプリケーションファイアウォール(WAF)等で防御境界を多層化する、「多層防御モデル」として、NSA本来の考え方とは異なる姿で普及した。
一方で、境界防御モデルや多層防御モデルの持つ課題解決に向け、防御境界の概念を再定義するという動きが起こる。この動きは国際会議などを経て、「ゼロトラストモデル」として提唱され、2020年にNIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所)が、サイバー領域の防御モデルとして推奨するに至る。この防御モデルは、ファイアウォール等によるネットワーク単位の防御から、エンドノード単位(Server、PC)での防御へのシフトを意味するものであった。
「これまでの城壁による防御から、個人が鎧で武装するようなイメージです。“線”で行っていた防御を“面”で行う考えにシフトしたと言えるでしょう」(伊藤氏)
伊藤氏はサイバー領域におけるゼロトラストモデルの基本的な概念も紹介した。境界防御モデル、多層防御モデルで使用されてきた内部領域、外部領域という区別はなくなり、守るべき資産が存在する内部領域という概念は「トラストゾーン」にという概念に変わり、ゼロトラストモデルでは、このトラストゾーンに参加するプロセスが重要視される。そのために使用される機能が「認証・認可・監査」だ。
ゼロトラストモデルでは「境界がない」と思われがちだが、内部領域と外部領域の区別がなくなっただけであり、「マイクロペリメータ」という境界の概念が存在する。
「マイクロペリメータとは防御境界を極小化した概念であり、防御境界が情報資産に張り付いているイメージです」(伊藤氏)
ゼロトラストモデルでは、極小の防御境界が遍満に設置されているため、攻撃者の動きが制限されやすい。また何かアクションを起こした場合、すぐに防御境界に接触してしまうため、防御側が気づきやすいという利点がある。
技術的な視点では、理想的なゼロトラストモデルはサービスプレーンとコントロールプレーンから構成される。サービスプレーンがユーザの作業する現場のようなイメージだと言えるだろう。
その現場のセキュリティ制御を担うのがコントロールプレーンである。ユーザが現場に参加する場合、サービスプレーンに存在するPEP(Policy Enforcement Point)と、コントロールプレーンに存在するPDP(Policy Decision Point)の間で、ユーザの“参加資格があるか?(認証)”、“どのような権限を付与するか?(認可)”の確認が行われ、現場への参加を許可されたユーザはサービスプレーンでの“行動が監視される(監査)”。ゼロトラストモデルはユーザが現場に参加しようとする都度、このようなプロセスを踏む。言わば「どのような論理的・物理的実体も最初は信頼しない」という前提によってセキュリティを担保するモデルである。
トラストゾーンの実現においては、絶対的な信頼を持つトラストアンカーが存在し、そのトラストアンカーからの信頼の委託(トラストチェーン)により、信頼できるソフトウエア、ハードウエア、ユーザが選別され、これらの要素によって最終的にトラストゾーンが形成されていく流れとなる。
技術的側面から考えた場合、ゼロトラストモデルはマイクロペリメータという概念によって非常に強固な防御モデルとなっているが、その実現プロセスという側面から考えた場合、考慮しなければならないポイントが存在する。
ゼロトラストモデルの実現プロセスを現実世界に置き換えると、「信頼できるサプライチェーンの形成とまったく同じ意味」と、伊藤氏は言う。
たとえば実績のある日本企業のみでサプライチェーンを構成しようと思っても、実際には信頼できない要素が混入された海外製品や海外のサプライヤーなどが入ってくる可能性があるからだ。ゼロトラストモデルの核であるマイクロペリメータを構成する部品となるハードウエアやソフトウエアのサプライチェーンの中に信頼できない要素が存在する場合、ゼロトラストモデルのトラストチェーンは成立せず、サプライチェーンそのものに防御境界を設置する必要が発生する。
伊藤氏は「これこそが経済安全保障という概念が必要となった背景ではないか」と述べ、これが冒頭の、経済安全保障という概念をセキュリティエンジニアの視点から見た見解、すなわち「2010年代後半から本格化した、ゼロトラストモデルの実装の結果として必要になった、新たな防御境界であると認識しています」という発言の意味であった。
「経済安全保障」「セキュリティ・クリアランス」の潮流と法整備
株式会社日本総合研究所
創発戦略センター
コンサルタント 岩崎 海氏
続いては、経済安全保障やセキュリティ・クリアランスに関する研究に従事し、関連著書なども上梓しているコンサルタント、岩崎海氏が登壇。シンクタンク研究員としての視点から、経済安全保障について解説した。
第2次世界大戦終戦後、それぞれの国家は国境、国を意識することなく、グローバリゼーションだけに集中していればよかった。だが、2018年10月にアメリカのペンス副大統領が中国を直接批判する演説を行ったことを契機に、米中関係が悪化。それに伴い、日本と中国の関係も悪化した。
「経済と安全保障の依存関係の顕在化が始まったことに加えて、近年のウクライナ侵攻や台湾情勢の悪化などにより、安全保障が経済に影響を与えることが、明白になっていきました」(岩崎氏)
そもそも安全保障とは、平和、独立、繁栄といった国家の中核的価値を守ること。そして守る際に軍事的手段ではなく、経済的手段を用いて達成することが、経済安全保障である。
ただし、捉え方はさまざまだと岩崎氏。たとえば中国人民解放軍では、「あらゆるもの、あらゆる情報、あらゆる場所が戦場になる」と考えている。日本においては国家安全保障戦略の中において、経済、技術など非軍事的な分野が対象であったが、その境目が曖昧になっていると明記されている。
日本における制度面での動向も紹介された。2022年5月に経済安全保障推進法が設立。以下4つの分野において制度を創設し進めていく。現在は有識者が詳細を議論している段階だ。
- 特定重要物資の安定的な供給の確保
- 基幹インフラ役務の安定的な提供の確保
- 先端的な重要技術の開発支援
- 特許出願の非公開に関する
この中から日本総研にも大いに関係のある、社会的関心も高い「基幹インフラ」について、より深く論じていった。岩崎氏は、実際にどのようなトピックスがあるのか。制度や規制はどのような分野や企業が対象となるのかを紹介した。
対象となるのは電気、ガス、石油など14分野である。すべての企業が対象となるわけではなく、いわゆるエンタープライズ企業に絞られる。銀行業であれば預金残高10兆円以上。「10行程度が該当する」と、岩崎氏は補足。運用開始時期においても現在詰めている段階で、おそらく来年の春ごろのスタートになるだろうという見解を述べた。
次に解説されたのは「セキュリティ・クリアランス」だ。政府の秘密情報が漏洩することによる不利益を防ぐために、秘密情報を取り扱う人物等を事前に審査する仕組みである。
制度が設立された背景には、昨今増えている営業情報の漏洩もある。
「最終的に情報を漏洩するのは人であるため、その人をスクリーニングすることは、有用だと指摘されています」(岩崎氏)
セキュリティ・クリアランスの制度、仕組みはアメリカが先行しているが、2021年にある事件が起きる前までは、比較的事業者における自主規制であった。ところがアメリカ最大の石油パイプライン事業者であるコロニアル・パイプラインがサイバー攻撃を受け、操業停止に追い込まれたのを契機に、法的拘束力ならびに対象が広まっていった。たとえば、鉄道事業者などである。
岩崎氏は日本における情報漏洩の実態を「非常に増えており、対政府に限らず民間企業においても起きていることを伝えたい」と述べ、具体的な事件を紹介した。
一方で、日本の政府もただ手をこまねいて見ているだけではない。セキュリティ・クリアランスの法制化に向け、今まさに議論が進められている段階だという。
「どのような規制になるのか、注目して見ていきたいと思っています」(岩崎氏)
「積極的防御(アクティブサイバーディフェンス)」の概念と手法例
続いては伊藤氏が、サイバーセキュリティにおける「積極的防御(アクティブサイバーディフェンス)」について解説した。
ゼロトラストモデルの検討と並行して、実は軍事的キルチェーンモデルをサイバー領域に適用する試みが2007年ごろから行われており、それが現在の「積極的モデル」になっていったという。「キルチェーン」とは軍事用語であり、敵の攻撃の構造を破壊・切断することで、自分たちを防御するという考え方だ。
ベースとなったのは米陸軍の対テロリストの行動予測モデルであり、これをベースに様々なサイバー領域への適用モデルが発表された。最も有名なものは、2014年に防衛・軍事の大手である、アメリカのロッキード・マーティンの研究者により発表された「段階防御モデル」である。
段階防御とは、時間の経過により変化する戦況に即した攻撃を行う相手に対し、防御側も時間軸を考慮した作戦を立て、最も効果的な対応策を実施する概念である。
サイバー領域における段階防御モデルも、基本的な防御概念は境界防御モデル、多層防御モデル、ゼロトラストと同じだ。そこに段階を考慮し、時間軸を意識する要素が加わる。
たとえば既に内部に侵入し、巧妙に姿を隠蔽している攻撃者も、その目的を達成するために何らかの行動を起こし防御境界に接触する可能性がある。段階防御モデルは時間軸をもって防御境界に現れる挙動変化を観測し攻撃行為を検知し、最も効果的な段階で阻止する(攻撃者のキルチェーンを切断する)という考え方である。
伊藤氏はさらにロッキード・マーティンのサイバーキルチェーンをベースに、サイバーセキュリティなどの分野で米国政府機関などをサポートする研究機関のMITRE社が公開したフレームワーク「MITRE ATT&CK」も紹介した。
「何かしらのインシデントや攻撃があった場合、その攻撃者がどのように動いたのかをこのフレームワークを使って追いかけることで、攻撃の全体像、つまりサイバーキルチェーンを把握することができます」(伊藤氏)
この段階防御モデルは、防御をより強化したいという方針から「積極的防御モデル」へと進化していく。ここでも牽引するのはアメリカ、国防総省である。
これまでの防御はあくまでも攻撃者の敵対行為に対する措置を行うため、アクションの主導権は攻撃者にあった。つまり、受動的であった。それが積極的防御ではまさに言葉どおり、防御側が主導権を取り、攻撃者に対して積極的にアクションを起こしていくという考え方である。
ただし、サイバー領域における積極的防御においては現在、確固たる定義がなく、今まさにさまざまな議論が行われている。そこで伊藤氏は議論されている様々な内容から自身がイメージしているモデルを紹介した。
積極的防御モデルは攻撃者と積極的に相互作用を行う「グレーゾーン」を設け、攻撃者にコストの支払いを強制するというイメージであり、攻撃者も完璧ではないという考え方に立つ。境界防御モデル、多層防御モデル、ゼロトラストモデル等が現れた初期には攻撃者(攻撃グループ)の具体的な属性はあまり考慮されず、漠然と「脅威」として定義されてきたが、段階防御モデルや積極的防御モデルでは脅威をもたらす者、すなわち攻撃者の属性を具体的に仮定することによって積極的な対抗手段が策定されたのである。
では、積極的な対抗手段を含むグレーゾーンとは具体的にサイバー領域において、どのようなものなのか。ここでも米国の関連機関CCHSで検討されたプロジェクトからのレポートを伊藤氏は引用した。レポートによると、「おとり・罠システムの設置」「善良なランサムウエアの使用」などが記載されていることが分かる。
伊藤氏は、サイバー領域において議論されている積極的防御の概念について、自身の見解を述べた。まずは左下のイラスト、こちらも米国のサイバーセキュリティに関連する機関、SANS Instituteにおけるサイバーセキュリティ防御対策の成熟を示したものだ。
同図左上の3つの領域「パッシブディフェンス」「アクティブディフェンス」「インテリジェンス」の部分の実際の構成要素を掘り下げていくと、右上の図の様に「脅威インテリジェンス」「脅威ハンティング」「(インテリジェンス駆動型)インシデントレスポンス」「積極的対抗策・交戦戦術」の、4つの要素で構成されるサイクル(アクティブディフェンスサイクル)となる。
「広義の積極的防御」は、脅威インテリジェンスの利用、脅威ハンティングの実施、インシデントレスポンスの実施、積極的対抗策・交戦戦術の実施。これら4つの要素のサイクルでイメージされると私は捉えています」(伊藤氏)
また現在、積極的防御について様々な議論がなされている理由として、前述の4つの構成要素の中の「積極的対抗策・交戦戦術」が「狭義の積極的防御」にあたり、この要素の中に法的・倫理的グレーゾーンにある可能性を持つ対抗策や戦術が含まれるためと話した。
伊藤氏は、現在における自身の積極的防御の全体構成イメージも紹介した。
積極的防御は、「脅威ハンティングサイクル」、「脅威インテリジェンスサイクル」、従来の「受動的防御対策サイクル(NIST SP 800-61 rev.2)」、「MITRE ATT&CKおよびENGAGEフレームワークが構成するサイクル」、「侵害指標(IoC)の共有サイクル」、及びこれら全体を結びつける「インテリジェンス駆動型インシデントレスポンスサイクル」で構成されるというイメージである。
インシデントが発生した場合、インテリジェンス駆動型レスポンスサイクルが回転し始める。まずは検知されたインシデントをMITRE ATT&CKフレームワーク等を使いサイバーキルチェーン上の、どの攻撃段階にあたるのか等を特定する。この特定を行った後に次の攻撃段階への移行を阻止するための防御対策を行う。ここで注意して欲しいのは、積極的防御モデルでは侵害された箇所の復旧や防御境界の強化等を重視した従来の受動的防御対策に加え、MITRE ENGAGEフレームワーク等を用いた積極的対抗策も追加オプションとして検討される事である。対策が終了した後、公開されているIoCを利用してインシデントを発生させた攻撃者の特定や使用した攻撃戦術を分析し、その分析結果である脅威インテリジェンスを標準フォーマットで記述された、利害関係者がいつでも利用できる新たなIoCとして共有するという様々なサイクルがインテリジェンス駆動型レスポンスサイクルを中心に結合されているというものである。
「これまでの防御モデルでは、インシデントが発生したときだけに、トリガーが発動しました。しかし、積極的防御では脅威ハンティングや脅威インテリジェンスサイクルを回した結果、防御境界内部に攻撃者が存在する、または攻撃の予兆があると判断した場合、トリガーの事前発動もあり得るモデルになったことが、一番の特徴です」(伊藤氏)
伊藤氏は最新のサイバー攻撃の事例も紹介した。2023年5月、アメリカの政府機関を含む約25の組織が利用するクラウドサービスが、中国を拠点とする攻撃者に侵害された事案だ。この事案はクラウドサービス事業者が侵害された事に気づかず、顧客からの申告により発覚したものであり、その原因は何らかの手段によりクラウド認証基盤の秘密鍵が盗まれたというものであった。
クラウド認証基盤は様々なクラウドサービスのトラストチェーンの頂点にあたり、その秘密鍵が盗まれた事はトラストアンカーが侵害されたものと言える。ゼロトラストの概念ではトラストアンカーとの信頼の相互形成によりセキュリティの担保が連鎖していくため、このようなケースでは被害が広範囲に及ぶ可能性があると指摘した。
一方で、詳細は不明と前置きしながらも、検知のきっかけとなったのはメールのダミーアカウントであり、積極的防御の交戦戦術の一つである“おとり”を設置する手法が用いられていた可能性が考えられるという見解も示した。
伊藤氏は最後に、近年アメリカで話題となっている「前進防御(Defense Forword)」という概念に触れ、また所属するセキュリティ部門が最近注目しているニュースを紹介し、次のように語り、セッションを終えた。
「ニュースを単体として捉えるのではなく、サプライチェーンの防御や、Defense Forwordといった概念を頭に置きながらニュースを見ると、また何か別のことが見えてくるかもしれません」(伊藤氏)
【Q&A】参加者からの質問に登壇者が回答
セッション後は、イベント参加者からの質問に登壇者が回答した。いくつか紹介する。
Q.日本政府が示す「侵入・無害化」の実現可能性についての見解は?
伊藤:侵入・無害化をどう白黒判断するかで変わってくるため、議論の真っ最中です。
岩崎:アクティブ・サイバー・ディフェンスを積極的防御か、能動的サイバー防御か。どちらの言葉で扱うか迷いました。ただ政府の保障戦略を見ると、積極的防御を使っているので、私たちもその流れに沿ったという経緯です。
Q.「NIST SP800-171」の対象企業は1000社以上とされているが、実際に導入は可能か?
伊藤:グループ企業対応も考えると、現実的には無理だと思います。あくまで理想的、目指すべき数字だと捉えています。
岩崎:可能かどうかよりも、導入しなければならない数字と捉えたいと思います。NISTの規格をどのように導入していくか。私は導入している企業とディスカッションすることもありますが、担当者は開発や営業といった職種が多いと感じています。 そのため規格や規制を導入したことで、動きが辛くなっている現状があります。このような状況から日本企業の実態に即した規格、技術者の目線でNISTの規格を導入していく。
そのためには営業、開発サイドとどのようなコミュニケーションを取ればよいのかが、問題となってくると思っています。
伊藤:日本総研ではいろいろ取り組んでいて、私は実際にセキュリティ概念を広めていく社内教育も担当しています。どのような教育方法が効果的なのか、手探りの段階です。
Q.民間企業が他国政府からサイバー攻撃を受けた際の、積極的防御モデルの使用は?
伊藤:攻撃者が国家であった場合、企業が一社で立ち向かうのは非現実的です。そのため民間企業同士で情報交換しようという動きが起こっています。
岩崎:人同士のつながりもまだこれからですが、積極的に進めていく必要があると考えています。米国は国のサイバー軍が民間企業を防御する義務があるので、先行事例も参考になると考えています。
伊藤:米国はルーマニアなどにも出かけ、積極的に脅威を除くような取り組みを行っています。日本もやらなければならない時期がくるかもしれません。
Q.セキュリティ人材について
伊藤:セキュリティに関する基礎知識を持つ人材はいますが、根本を分かっている人材はあまりいないと感じています。社内教育でも根本の基礎概念を理解して議論できるように成長してほしいと伝えています。
岩崎:イスラエルでは、義務教育の選択科目でITやセキュリティといった項目があります。日本でも早めの段階での教育が必要だと思います。
株式会社日本総合研究所
https://www.jri.co.jp/
株式会社日本総合研究所の採用情報
https://jri-career.com/career/
関連するイベント
