【サイバー攻撃常習国に囲まれる日本】中国による情報窃取が増加 現在の国家防衛に必要な「ACD」とは

　このようなACD戦略は、アメリカだけではなくイギリスでも行われている。イギリスでは、2016年の「サイバーセキュリティ戦略」で、戦略文書の中でACDが明確に位置付けられた。同戦略では、「イギリスのネットワーク全体のサイバーセキュリティのレベルを大幅に向上させるためのACDを開発・適用する」との宣言がなされ、イギリスのサイバー空間全体に対して、このACDを適用し、自らのネットワークに対する脅威を理解し、それらの脅威に積極的に対抗するための対策を考案し、実施するとイギリス政府は表明した。

　イギリスでも、サイバー攻撃者の特定のために、2016年調査権限法に基づいて、通信の傍受、メタ・データの収集・集約、ハックバック、ダークネットでの情報収集などの多岐にわたる活動をインテリジェンス機関、法執行機関、国防情報機関が実施している。

　また、能動的防御の技術対応として、国家サイバーセキュリティセンター（NCSC）において、ドメイン名保護、ウェブチェック、テイクダウンなど10の技術的ACDを実施している。このうち、悪意のあるサイトのテイクダウンでは、毎年20万件近くがテイクダウンされ、サイバー攻撃が引き起こす被害軽減に貢献している。

日本もACD導入へ

 

　ACDは、具体的には図3に示すような「OODAループ」を回して、サイバー攻撃者へ対応していくという形で行われている。国家が関与するサイバー攻撃に対しては、アトリビューションを特定した上で、対応決定を行う。政策的対応として、サイバーで反撃、制裁、外交的な措置、司法訴追といったオペレーションをとる。技術的対応としては、通信のブロックやサーバーのテイクダウン、ハックバックといったオペレーションも同時に行われる。これらを組み合わせて、敵側のサイバー攻撃主体を抑止していくという形でのオペレーションが進行している。

　「OODAループ」は、まず?「Observe:情報収集」として、通信傍受、メタ・データの収集などを用いた、サイバー攻撃に関する「生」のデータの収集と観測が出発点となる。そして次に、サイバー攻撃者を特定するため、よりピンポイントに絞った「アトリビューションの特定」が行われる。?「Orient:分析／特定」として、技術手法を用いた蓄積データの分析、攻撃者に近づくためのC&Cサーバーへのハックバック、ビーコンプログラムや囮環境を用いた攻撃者のネットワークへの侵入が行われ、攻撃者の特定が行われる。

　その上で、?「Decide:対応決定」として、観測データや分析から得られた状況判断を基に、どのような対応で攻撃者を抑止し、攻撃によるダメージを軽減するかを決定する。そして、?「Act:対応実施」として、攻撃軽減のための技術的措置の実施や、攻撃者を抑止するための政策的措置の実施が行われる。

　今後我が国でも、サイバー領域の安全保障を確保するために、ACDを用いた安全保障政策が検討されている。2022年12月16日に閣議決定された「国家安全保障戦略」をはじめとする「安保三文書」では、サイバー安全保障分野でACDを行うことが明記された。

『新領域安全保障』では、ACDをはじめサイバー・宇宙・無人兵器といった新領域の最新動向、およびその中での国内法・国際法についての課題を検討した。

　我が国の戦略文書の中に、最初に能動的なサイバーセキュリティが位置付けられたのは、2018年のサイバーセキュリティ戦略においてである。サイバー空間の脅威の深刻化に伴い、受動的な対策だけでは対応できないとして、「サイバー関連事業者等と連携し、脅威に対して事前に積極的な防御策を講じる「積極的サイバー防御」を推進する」との文言が入れられた。具体的な対策の例として、脅威情報の共有、攻撃誘引技術の活用、ボットネット対策などが示された。