SolarWindsのサプライチェーン攻撃の話題が依然としてメディアを賑わせています。衰える様子はまったく見られません。そして今、このインシデントの対応において、米国政府は方針を転換し始めました。

しかし、資金援助の額を増やすだけで、それが有効な戦略となるでしょうか。一つの例として、米国連邦通信委員会（FCC）の最近の動きを見てみましょう。

2月17日にFCCは、Secure and Trusted Network Reimbursement Program（ネットワーク補償プログラム）のルールの変更に関する複数の提案についてコメントを求め、投票を実施しました。

2019年の第116回米国議会でH.R.4998に基づき創設されたSecure and Trusted Network Reimbursement Programでは、使用が禁止されている機器、有害な機器をよりセキュリティの高いデバイスやサービスと交換できるよう、加入者の数が200万以下の通信事業者に、そのための資金をFCCが提供することを許可しています。

提案の1つでは、この資金を受け取ることのできる通信事業者の拡大を求めており、これが承認された場合、FCCは、加入者の数が1千万の通信事業者を上限として資金の提供ができるようになります。

また、FCCがコメントを求めている別の提案では、Huawei Technologies CompanyとZTE Corporationを米国の安全保障上の脅威に指定した2020年7月の措置の内容をSecure and Trusted Network Reimbursement Programに反映することを求めています。この提案が承認されると、2020年7月30日以前に取得した機器を通信事業者が撤去、交換するのを支援するのに、FCCはその資金を使えるようになります。

そして最後の提案では、Consolidated Appropriations Act of 2021（2021年統合歳出法）で承認された18億9,500万ドルを補償の額が超えた場合の、プログラムのルール、資格、機能を明確にするよう求めています。

「パンデミック収束後の世界における、米国のセキュリティ、経済回復、リーダーシップを考えるうえで、ネットワークのセキュリティの果たす役割はきわめて重要です。それゆえに、FCCでは、ネットワークのセキュリティを実現するためのアプローチを見直しており、今回の提案は、その一環に位置付けられます」と、FFCの議長代理、Jessica Rosenworcel氏は述べています。また、MeriTalkが伝えるところによれば、Rosenworcel氏は、次のようにも述べています。「我々が早く結論を出せばそれだけ早く、通信事業者がネットワークのセキュリティを強化するのを支援できます」。

「しかし、これは始まりに過ぎません。最近では、SolarWindsのソフトウェアの欠陥を突いた攻撃など、サプライチェーン攻撃に起因する損害が発生しており、これらは、米国のネットワークをさまざまな脅威から保護するのに、多面的で戦略的な統合アプローチが必要であることを物語っています。議会から新たな資金援助についての話が出たこの機会を捉えて行動を起こすべきです」

戦略的アプローチの必要性

Rosenworcel氏のコメントで私の関心を引いたのは、「戦略的なアプローチ」という言葉でした。セキュリティ上の脅威と見なすテクノロジーの撤去、交換を考える際に、この言葉の持つ意味が重要になります。この文脈から考えると、重要なことは支援の額ではありません。

金額が20億ドルでも、2,500億ドルでも、あるいは、10兆ドルであっても、金額は重要ではないのです。重要なことは、資金をどう使うかです。過去20年で米国政府は、デジタルセキュリティポスチャの強化にすでに数兆ドルを使ってきました。ここで、さらに同じような額を投入しても何の意味もありません。

そしてこれは政府だけの話にとどまりません。結局のところ、SolarWindsのサプライチェーン攻撃の影響を受けたのは、政府関係機関だけではないのです。セキュリティ企業でさえもサイバー攻撃の被害者になるという現実は、どの業種のサイバーセキュリティにおいても、攻撃を仕掛ける側が有利であるという事実を裏付けているのです。これは、何か別のアプローチが必要であることを意味します。

現在ではこれまで以上に、イノベーションに集中して取り組むことのできる機会が増えました。以前と変わらないツールキットを方法を変えて使い続けるのではなく、より効果的な検知機能を開発できるようになったのです。セキュリティ侵害の痕跡（IOC）のような、アーティファクトベースのアプローチでは、SolarWinds攻撃を検知できないのは明らかです。それゆえ、遡及的な手法だけを利用しているツールの先を行く対応が必要です。

個々の標的に合わせて攻撃の流れを変えるように攻撃が巧妙化している時代においては、もはやIOCのアーティファクトは役に立ちません。ある組織の環境で検知された攻撃の情報を、別の組織の環境で高度な攻撃の検知や防御に使おうとしても無理があるのです。

そして代わりに必要となるのが、振る舞いベースのアプローチです。このアプローチなら、SolarWinds攻撃の基盤を形成するのに都合がよいとされる珍しい型の振る舞いの連鎖を検知することができます。もっと具体的に言えば、アーティファクトの使用をやめて、振る舞いの痕跡（IOB）を利用する必要があるのです。IOBとは、高度な攻撃を受けたときにその影響が大きく表れるずっと以前に、微妙なかたちで確認される行動の連鎖を意味します。このオペレーション中心のアプローチなら、どこで展開された新しい種類の攻撃でも防ぐことが可能です。

米国政府は、今後、イノベーションの推進と民間部門との連携を通じて、次世代の振る舞いベースのソリューションを開発していくでしょう。そしてそれによって究極的には、振る舞いベースの検知へと検知ソリューションが移行していくのを後押しすることになるのです。部門を越えたこのレベルの連携を通じてのみ、防御側有利の状況をサイバーセキュリティで作り出すことができます。

サイバーリーズンのプラットフォームは、SolarWindsのサプライチェーン攻撃などの脅威から組織を守る機能を備えたソリューションの1つです。攻撃チェーンのすべての要素を相互に関連付けるには、オペレーション中心のセキュリティアプローチが必要です。孤立した状態では何の問題もないように見える振る舞いでありながら、他の振る舞いと相互に連携したときに明らかに攻撃者に有利な状況を作り出す振る舞いがあります。このようなケースでは特に、オペレーション中心のセキュリティアプローチが欠かせません。

振る舞いベースの検知を使用すれば、セキュリティプロフェッショナルは、本当に重要な事柄に優先して取り組めるようになり、問題が表面化する前に集中してその対応ができます。関連付けされておらず、コンテキスト情報のないアラートを組みわせたり、攻撃が顕在化してからアーティファクトを集めて全貌を把握したりするような作業はなくなります。

攻撃を早期に把握し、迅速に問題に対処するには、IOBが欠かせません。このパラダイムシフトのアプローチを活用したソリューションはすでに一般で利用可能です。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/