古くからセキュリティ対策は「攻撃されたら防御する」のように攻撃に対する受け身の技術として発展してきました。しかしインターネットやコンピューターの発達に伴い、受け身の防御ではセキュリティ対策として不十分であることが明らかになりつつあります。
例えばハッキング行為は古くから存在していましたが、その目的はただのいたずらや、攻撃者の技術力を知らしめるための行為でもありました。しかし現在では、そのような自己顕示欲のためではなく、ランサムェアによる金銭強奪や、APT攻撃などによる機密情報の入手など明確な目的を持って攻撃が顕著になってきています。
さらにクラウドコンピューティングやIoTの普及に伴い、防御するべきシステムも格段に増加しています。
このような状況から、もはや受け身の姿勢での対策だけでは不十分であり、防御する側からも攻撃者に対して積極的なアプローチをしていくことが必要不可欠となっています。このような防御戦略のうちの一つが「アクティブディフェンス」です。今回はアクティブディフェンスの概要、そしてメリットとデメリットについて紹介します。
アクティブディフェンスとは
アクティブディフェンスとは一言で言えば「能動的な防御」です。アクティブサイバーディフェンスとも呼ばれることもあります。これまでセキュリティ対策が攻撃の後の事後対策であったことに対し、アクティブディフェンスでは「予防策の積極的構築」が目的となります。
アクティブディフェンスはセキュリティ対策を攻撃者の目線に焦点を合わし、攻撃者の攻撃の兆候をとらえ、攻撃を受ける前に攻撃者の能力を失わせたり、低下させたりすることができます。そして実際に攻撃が発生したとしても、早期の解決に向けて対処できるのです。これがアクティブディフェンスの目的です。
アクティブディフェンスの方法
アクティブディフェンスを効果的に運用するカギは、組織内のネットワークやシステムをリアルタイムで監視し、サイバー攻撃の兆候を素早くキャッチすることです。
またアクティブディフェンスでは攻撃者に焦点を合わせて対策を施しますが、防御する側の機密データや情報システムの種類に応じて、防御策がカスタマイズされます。具体的には、既存のセキュリティ対策に加えて、アクティブディフェンスにより取集されたデータを使い、攻撃者の攻撃方法と、対象となる防御側の資産を紐づけます。
この情報をアクティブディフェンスと取り入れている組織の属する業界内の起こっている最新のトピックに関する知識を組み合わせることで、攻撃者の主体や目的などを知る手がかりとなります。
アクティブディフェンスのメリット
アクティブディフェンスを取り入れることで、攻撃者目線でのセキュリティ対策が可能になります。しかし単純に取り入れるだけでは成果は上げられません。効率的なアクティブディフェンスの構築のプロセスは組織によって異なるため、導入においては組織に応じてカスタマイズすることが必要です。効果を最大限に得るためには、セキュリティ分野における、監視、運用、資産の識別と重要度の設定、IT運用そしてセキュリティアーキテクチャなどを一定の水準まで高めることが重要です。
アクティブディフェンスの運用により得られるメリットは主に3つあります。1つ目は、実際の攻撃者がとった行動に基づいて、対応策を講じ、侵入者を捜索することで防御の強化ができることです。2つ目はセキュリティ対策上のリソースを適切に配置することで、効率的な施策につながることです。3つ目はアクティブディフェンスが臨機応変的に運用されることで、組織が短期間で成果をあげ、学習につながるように設計されているという点です。
アクティブディフェンスを取り入れることは、既存のセキュリティ運用システムの整理や統合につながります。それだけでなく、組織におけるセキュリティの監視と攻撃発生時の対応を強化し、攻撃の成功を未然に防ぎ、侵入があった場合の排除までの時間を短縮できるのです。
アクティブディフェンスのデメリット
アクティブディフェンスは防御する側が攻撃者に対してアプローチするという特徴があります。例えば攻撃元のサーバーに対してハックバックや破壊行為を仕掛けるなどです。セキュリティ上の予防目的や、攻撃を未然に防ぐためであるとしても、防御側から行われるアプローチは本質的にはサイバー攻撃に用いられるものと同等のものです。
つまりこれらのアプローチにどれほどの正当性があり、社会的合意がなされているのかが問題となります。言い換えると、どの程度までの攻撃者に対するアプローチがセキュリティ対策として認められるのかという点です。アプローチに正当性が無い場合、防御する側が攻撃者として訴えられたり、犯罪のリスクを負ったりすることにつながります。
また防御側からアプローチすることで、攻撃者を刺激し反撃される報復行為に結び付くこともあり、本質的な解決には結びつかない問題点もあります。
アクティブディフェンスの今後の展望
アクティブディフェンスにはセキュリティ対策としての大義名分がありますが、実際には合法的にサイバー攻撃を行っているだけと捉えることもできます。特に攻撃者のサーバーにアクセスして得た情報は、通信の秘密やプライバシーの問題、さらに国家や行政による悪用の可能性など様々なリスクがあります。さらにこれらの情報をセキュリティ対策のための情報として、第三者に提供する経路が、新たな攻撃ポイントになる可能性もあります。
またアクティブディフェンスに便乗した攻撃が発生する懸念もあります。アクティブディフェンスの調査のという口実でパスワード情報を聞き出したり、攻撃用のウェブサイトに誘導したりする攻撃が発生することもあるでしょう。
このように現状ではアクティブディフェンスの実施に対しては慎重にならざるを得ません。なぜならアクティブディファレンスは正当性を吟味されたうえで、法的な根拠に基づくものでなければ、たとえ攻撃を防御できても別のリスクが発生してしまうからです。技術的な課題だけでなく、法律上の整備がアクティブディフェンスの今後の課題と言えます。
まとめ
アクティブディフェンスは近年注目を集めているセキュリティ対策です。しかしその考え方や実施方法には様々な違いがあり、現状では明確な定義はありません。またアクティブディフェンスは単独で導入するのではなく、既存のセキュリティ運用システムに追加して活用すること方法を確立することも重要です。
従来からの受動的なセキュリティ対策と比較して、有効なセキュリティ対策と思われているアクティブディフェンスですが、法的、あるいは技術的な課題も残されています。能動的な防御を口実に、行き過ぎた対策を講ずることを認めると、逆に攻撃者にとって有利な状況を生みだす温床にもなりかねません。アクティブディフェンスを今後も有効に活用するためには、技術的な視点だけでなく、慎重な議論を交わし法的な整備を整える取り組みが必要となるでしょう。