7月1日から、ロンドンに久しぶりにいってきました。”Frozen”や”Tina”などのミュージカルなども見てきました。Frozen (アナと雪の女王)ですが、「let it go」が一幕目の終わりに来るのですが、鳥肌モノのすごさでした。本当に、機会がありましたら、ぜひともごらんください。Tinaも最後は、総立ちのライブモートですし、楽しかった。

といっても、メインは、サイバー関係のインタビューをしてきました。そこで、すごく気になったことが、英語(British English)として の”Active Cyber Defense”と日本の関係者がいう「アクティブサイバーディフェンス」が全く別物であって、しかも、英国の関係者は、日本人の用語への鈍感さが、気になっているということでした。

ということで、以下、Active Cyber Defense (これは、British Englishとして の”Active Cyber Defense”をいいます)対アクティブサイバーディフェンスということで、英国から、新しい分析資料がでたこともあるので、この点についてまとめてみます。(米語でも”Active Cyber Defense”があることは、アクティブサイバー防御の概念の文献的分析と法的3D分析のDorothy E. Denning and Bradley J. Strawser“Active Cyber Defense: Applying Air Defense to the Cyber Domain”(2017)をどうぞ。)

1 Active Cyber Defense

1.1 2016 国家サイバーセキュリティ戦略

Active Cyber Defenseの概念

2106年１１月１日に国家サイバーセキュリティセンター（NCSC　以下、NCSCともいう） は、「国家サイバーセキュリティ戦略（National Cyber Security Strategy）」を明らかにしています。そこでは、

比較的自動的な方法によって、英国を攻撃するサイバー 攻撃にたいして、格闘しようとする意図されたプログラムである。ここで、自動的というのは、よりスケール大きくなれば、うまくいくという意味である。万能薬ではないが、私たちの経験する攻撃の相当程度のインパクトを緩和するのを助けてくれる。本来の標的型攻撃にたいしては、（少なくても最初は）、影響することはないが、防御側の仕事におけるノイズを軽減するのに役立つのを望んでいる。

とされています。これを示したグラフィックを再度、あげます。

具体的には、

• インフラのプロトコルの修正
• 電子メールの信頼回復
• テイクダウンの実行
• インパクト管理のためのＤＮＳフィルタリング
• 英国のソフトウェアのエコシステムの改善
• 政府の職員の支援
• 識別・認証のためのイノブーティブな選択肢の支援
• 重要インフラの所有者・運営者のために支援の増大

などがあり、それらについて内容が紹介されています。

国家オフェンシブサイバープログラム（National Offensive Cyber Programme (NOCP)

英国において、まったく別個の概念であるのが、Offensive Cyber(攻撃的サイバー)という概念です。そこでは、攻撃的サイバーとは、

 ①サイバー攻撃ののちに報復する能力
②標的の通信もしくは兵器システムを妨害し、破滅し、または、用なしにする能力（サイバー攻撃の源をシャットダウンしたり、より伝統的な軍事活動に備えたりすることを含む）
③広範囲のシステムやインフラに対して攻撃する（現実世界へのダメージまで拡張される）能力

をカバーする概念になります。NOCPのプログラムは、2014年に設立されており、「効果的な抑止」に役立つものと位置づけられています。このブログでは概念の違いを説明するので、この攻撃的サイバーの具体的な提要については、ふれません。(なお、サイバーコマンドの活動の報告については、「ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表」をごらんください。)

1.2 その後の英国のサイバー政策等

その後、英国は、政府の「安全保障・防衛・開発・外交政策の統合レビュー」を発表します。

そこでは、

(1) サイバーパワーが国家目標を達成するための重要なテコとなること、

(2)サイバーパワーの維持のためのより包括的で統合的な戦略の必要性

(3)社会全体のアプローチであることの必要性

を明らかにしています。

さらに、2022年国家サイバー戦略においては、サイバーに不可欠な技術における我々の手を強化すること、と、我々の価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すること、という二つの目標をもとに、

• サイバーエコシステムの強化等(柱1)
• レジリエンス(柱2)
• 不可欠な技術のアドバンテージ等(柱3)
• グローバルなリーダーシップと影響力の促進等(柱4)
• 脅威への対応(柱5)

論じられています。この柱5においては、敵対勢力を検知、破壊、抑止し、サイバースペースにおける、そしてサイバースペースを通じての英国の安全保障を強化すること、が強調されています。

ここで、上の国家サイバーセキュリティ戦略は、より広い国家戦略のひとつとして位置づけられることになり、国家サイバー戦略と呼ばれています。この国家サイバー戦略は、「全体社会(whole of society)」アプローチをとったものであるとされています。

このような戦略のもと、Active Cyber Defenseについて、これらのサービスの有用性を、中小企業経営者から教育・慈善部門に至るまで、より広範なユーザーに広げることになりました。アクセシビリティと使いやすさを設計の基本原則とした）『根本的にシンプルな』デジタル・サービスの設計と開発への意識的なシフトは、セキュリティ専門部署を持たない個人や組織にも脆弱性チェックのメリットを提供するのに役立つでしょうとしています。

1.3 現在のActive Cyber Defense

1.3.1 年次Active Cyber Defense報告書

NCSCのActive Cyber Defenseのページでは、年次の報告書をみることができます。

• 2018年報告書(2年目)
• 2019年報告書(3年目)
• 2020年報告書(4年目)
• 2021年報告書(5年目)
• 2022年報告書(6年目)

なお、6年目の報告書については、丸山さんのブログで紹介がなされています。ただし、具体的な内容については、ふれていないので、具体的なサービスベースで記載していきます。

1.3.2 Active Cyber Defenseの具体的なサービス

概念的なものを論じるよりも具体的な運用に注目して論じるべきであるということを「アクティブサイバー防御の概念の文献的分析と法的3D分析」などでろんじてきたところです。ということで、この英国においてActive Cyber Defenseという概念が何を指すのかということから考えていきたいと思います。ユーザーの負担を軽減し、攻撃を大規模に阻止することを可能にする比較的自動化されたスケーラブルな方法で機能するサービスを中心にするプログラムの一体となります。

例えば、2020年報告書(4年目) においては、「(サービスの)まとめ」があります。また、NCSCのページには、具体的なサービスの説明があります。以下、NCSC のサービスをもとにその概要をみていくことにします。

1) セルフサービスチェック

これは、組織におけるセキュリティの状況を確認し、向上するためのものです。

早期警戒(early warning)

これは、情報フィードで検出された悪意のある活動を通知することで、組織がネットワーク上のサイバー攻撃を調査するのを支援するものです。

Exercise in a Box (www.ncsc.gov.uk/information/exercise-in-a-box)

現実的なシナリオのツールキットで、組織が安全でプライベートな環境でサイバー・セキュリティ・インシデントへの対応を練習し、洗練させるのに役立つものです。

Mail Check (www.ncsc.gov.uk/information/mailcheck)

組織が電子メール・セキュリティのコンプライアンスを評価し、犯罪者による電子メール・ドメインのなりすましを防止する安全な電子メール標準の採用を支援します

Web Check (www.ncsc.gov.uk/information/web-check)

公共部門のウェブサイトの所有者が一般的なセキュリティ問題を特定して修正するのを支援し、英国のサイトが攻撃者にとって魅力的な標的とならないようにします

なお、報告書では、これらに類するサービスとして

• NCSC Observatory NCSC の調査と戦略を支えるデータ主導の洞察の生成。
• Logging Made Easy (www.ncsc.gov.uk/information/logging-made-easy) Windows システムの日常的なエンドツーエンドの監視を可能にする、基本的なロギング機能を IT 資産にインストールする組織を支援するオープンソースプロジェクト。
• Cyber Threat Intelligence Adaptor(Cyber Threat Intelligence (CTI) Adaptor は、NCSC の Threat Detection and Response チームによって設計されたソフトウェア・プログラムであり、認可された組織が NCSC から高品質で文脈に富んだサイバー脅威インテリジェンス・フィードを受け取ることを可能にする。)

などがあります。

2)組織による検出

Host Based Capability (www.ncsc.gov.uk/information/host-based-capability)

政府やその他の主要サービスにおける脆弱性の特定、報告、是正を中心とした先進的なNCSCの脅威検知機能のサービスであって、組織のネットワーク上の脅威を検知するために導入することができる。 

Protective DNS (www.ncsc.gov.uk/information/pdns)

PDNSは、悪意のあるコンテンツを含むことが知られているドメインやIPにユーザーがアクセスするのを防ぎ、すでにネットワーク上にあるマルウェアがホームに呼び出すのを阻止する。

なお、報告書では、これらに類するサービスとして

• Dangling DNS(サブドメインハイジャックの脆弱性を検出します。ルーティングとシグナリング インターネットや電話通信システムの基盤となっているインフラプロトコル、BGP（Border Gateway Protocol）やSS7（Signalling System No.7）の修正。これには、SMSフィッシング・キャンペーンにおける悪用から組織を守るためのSMS SenderID Protective Registryのようなイニシアチブの設定も含まれます。)、

があります。

3)脅威の壊滅(Disrupt threats)

Suspicious Email Reporting Service (www.ncsc.gov.uk/section/products-services/active-cyber-defence#section_8)

受信トレイに届いたフィッシングメールや不審なメールを一般の人が報告できるようにする。このサービスは、悪質なサイトへのリンクがないかメールを分析し、被害が広がるのを防ぐためにインターネットからそれらのサイトを削除するよう努める。

テイクダウン・サービス (www.ncsc.gov.uk/information/takedown-service)

悪質なサイトを発見し、重大な被害が発生する前にインターネットから削除するよう、ホストまたは所有者に通知を送信します。NCSCがサービスを一元管理しているため、各部門が登録しなくても自動的に恩恵を受けることができます。

4)その他

MyNCSC (www.ncsc.gov.uk/information/myncsc) NCSCのデジタルプラットフォームで、ACDやその他のNCSCサービスへのシングルポイントを提供する。

2 アクティブサイバーディフェンス

次に日本語としての「アクティブサイバーディフェンス」をまとめましょう。まずは、スタートとしての国家安全保障戦略()からです。

2.1 国家安全保障戦略

これについては、「安全保障関連3文書と能動的サイバー防御-Beyond Barbershop talk(12月21日修正)」でまとめています。定義としては

武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入

という記述があります。

具体的なオペレーションとしては

1. 民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化する
2. 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
3.  国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。

となります。

(高橋コメント)この段階においては、op1やop2については、上記の英国のActive Cyber Defenseとの守備範囲とも違わないような感じがします。

2.2 新聞報道

その後、「「能動的サイバー防御」法整備へ 通信の秘密保護 例外検討」という記事(日経新聞 6月30日)(リンクこちらです。)が出ています。詳しくは、「「能動的サイバー防御」法整備へ 通信の秘密保護 例外検討」で検討しました。

ここで、「国」(自衛隊か、警察かは、不明-新聞記事だと自衛隊をいっているように思える)が、

• 探知
• 侵入

の権限をもたせるということをいっています。もっとも国際法的には、攻撃システムのアクセス権限がないのにアクセスしたからといっても、それ自体で、国際法的に違法になるわけではないので、何をするのかというのは、よくわからなかったところです。

2.3 テレビ報道や一部有識者の発言

そのようなところで、さらにテレビ報道や一部有識者は、上のActive Cyber Defenseや、Offensive Cyber、そして国家安全保障戦略の慎重ないいまわしを無視して、防衛のためのサイバーを用いた作戦すべてを意味するように「アクティブサイバーディフェンス」という用語を使い出しています。

その例として「「台湾有事シミュレーション」から見えた“日本のジレンマ”とは」を見ることができます。ここで

小野寺氏は、サイバー攻撃にはサイバー攻撃で反撃をするということを決断する。

とか

日本は「アクティブ・サイバーディフェンス」でまず対応しろ、という指示をした。この想定が可能になるのは2027年なので、実際は今の日本では出来ないが、これから法改正をして、日本がサイバー攻撃を受けたら、日本からも逆にサイバーで反撃をできる、攻撃して無力化する。こういう「アクティブ・サイバーディフェンス」ができるということを前提に、まずは、サイバーにはサイバーで攻撃しようという、ことにした。

とか、

反撃能力ですね。これから国会で議論しますが、私どもこの防衛文書の中で示した「アクティブ・サイバーディフェンス」というのは、「同じように反撃する能力」ということなので、二度とサイバー攻撃ができないように、相手のサーバーをダウンさせるとか。

の発言が見られます。また、河野克俊氏（元統合幕僚長）も

今の段階では、サイバー攻撃に対しては、向こうのサ－バーを壊すという議論までだと。

ということが、いわれています。

3 Active Cyber Defense対アクティブサイバーディフェンス

3.1 英国の用法 対 日本の用法

日本の上のメディアでの用法は、英語(British English)でいう、Offensive Cyberの作戦に該当してくると考えられます。そのような場合にイギリスと比較するのは、「ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表」で触れたところになるのですが、法執行としておこなうのか、諜報機関の准軍事的行為としておこなうのか、自衛隊の活動としておこなうのか、そのための基本的な枠組はどうなっているのか、ということが法的に議論されることになってくるのだろうと思います。

自衛隊が行うという方向性のようですが、その場合は、通常だと、緊急出動で、警察官職務執行法の例によるのかどうか(隊法89条1項)という問題も考えないといけないように思います。このような議論をきちんとする前に概念の濫用というのは、きちんと留意したいところです。もっとも、IT業界は、(正確性は二の次で)自分に勝手に都合のいいように概念を用いる傾向があって、日本の政治的な議論もそのような傾向があるように感じます。続・アクティブサイバーディフェンスの概念で、政治家の用語法についても触れています。

3.2 わが国のアクティブサイバーディフェンスのために整理されるべきこと

いつものことですが、

• 有事か平時か
• 主体はどこか
• 手続的な保障はなにか

という観点から整理する必要があるというののが、私のスタンスです。

今回は、英国のActive Cyber Defenseを加えて整理をしてみたいと思います。図で考えてみるとこんな感じでしょうか。

 

でもって、上のOp3となる

 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。

といっても、これがどのような形でなされるのか、ということについて考えないといけません。上の図でいうと、

• RAT
• 俗称ハックバック
• ホワイトワーム
• Wiper
• D-Dos

あたりかと思います。もっとも、英国でいう、攻撃的サイバーは、もっと、本格的な作戦を念頭においているように思えるので、