現代のサイバーセキュリティ対策は「第一次世界大戦レベル」

2021年2月17日、サイバーリーズン・ジャパン主催のオンラインイベント「Cybereason Security Leaders Conference 2021 冬」が開催されました。基調講演には国立研究開発法人情報通信研究機構（NICT）で主席研究員を務める伊東寛氏が登壇し、「戦いの歴史から学ぶこれからのサイバーセキュリティ ～ミリタリー目線でセキュリティを見直してみた～」と題した講演を行いました。

伊東氏はもともと陸上自衛隊のサイバー戦部隊の隊長を務めており、2007年の退官後は民間セキュリティ企業の要職や経済産業省大臣官房サイバーセキュリティ・情報化審議官などを歴任。2020年10月から現在の職に就いています。

同氏は陸上自衛隊での経験を踏まえ、今日におけるサイバーセキュリティ対策の水準について「現実世界における軍事作戦と比べると、100年以上遅れています。日露戦争レベルは超えていても、第一次世界大戦レベルがやっとで、第二次世界大戦レベルにはまだ届いていない印象です」と評します。

現在サイバーセキュリティの世界では多層防御の重要性が叫ばれていますが、軍事の世界においては既に第一次世界大戦の時点で「防衛線は突破されるのが当たり前」という認識が当たり前になっていました。そこで取り入れられたのが、たとえ前線を突破されても内部であらかじめ仕掛けておいたさまざまな防御の仕組みを駆使して敵を攻撃し、「地域全体」で防御することで最終的に敵を破砕する「縦深の防御」でした。

「縦深の防御を適切に行うには、防御地域全体の情報を俯瞰的に知っておく必要があります。逆に敵は、侵攻時に初めてこちらの地域の情報を知ることになるので、防御側があらかじめ情報収集と事前準備を万全に行っていれば、防御側の優位を確保できるようになります」（伊東氏）

サイバーセキュリティにおいても同様に、近年では攻撃の経路が極めて多様化しているため、いくら多層防御を固めても侵入を100％防ぐのは困難になってきています。従って防御ラインを突破してきた攻撃を内部で迎え撃って撃破できるよう、あらかじめ自社のシステム環境やセキュリティ対策状況を俯瞰的に把握し、適切な仕掛けを講じておくことが重要になってきます。

軍事史から学ぶ「インシデントレスポンス」と「レジリエンス」の重要性

では具体的にどのようなポイントをおさえておけば、従来のセキュリティ対策ではなかなか防ぎきれない攻撃に対処できるようになるのでしょうか？　この点について、伊東氏は軍事史上のエピソードを幾つか引用しながら次のように解説します。

■第一次世界大戦の撃墜王

第一次世界大戦におけるドイツのエースパイロット、リヒトフォーヘンは天才パイロットとして知られ、凡人がとても敵う相手ではありませんでした。しかし現代戦で用いられる「AWACS」を用いれば、空域全体の状況をレーダーで把握し、適切に味方に指示を出すことで、たとえリヒトフォーヘンのような天才パイロットが相手でも組織戦で撃墜できるかもしれません。

またお馴染みの「桶狭間の戦い」で織田信長は、数の上で圧倒的に上回っていた今川義元の軍勢に対して、奇襲を仕掛けることで勝利を収めました。逆に今川軍は、奇襲への備えが万全ではなかったために敗北を喫したといえます。つまり奇襲も含めたあらゆる可能性を考慮した対策が重要であり、先ほどのリヒトフォーヘンのエピソードも踏まえてサイバーセキュリティの世界に置き換えると、インシデント発生のあらゆる可能性を考慮した「組織だった」インシデントレスポンスの取り組みが極めて重要になってきます。

■サイバー空間における「東京急行」

かつて旧ソ連は、戦略爆撃機や哨戒機、偵察機などの軍用機を日本の防空識別圏内に頻繁に飛ばし、自衛隊や在日米軍の訓練レベルや装備、レーダー仕様などの偵察活動を行っていました。自衛隊や在日米軍はこれを「東京急行（Tokyo Express）」と呼んでいましたが、伊東氏はこれと同じことが現代のサイバー空間において行われているのではないかと指摘します。

「平和な時代に仮想敵国の弱点を調べておくことは、軍隊の基本的任務の一つです。同じことが現在サイバー空間で行われていると想定され、最近多発する原因不明のシステム事故のかなりの部分がこれに該当するのではないかと個人的には考えています。つまり気付かないうちに攻撃者に侵入され、偵察活動を許している可能性が高く、こうした状況に対処するには自ら脅威を可視化・除去するための脅威ハンティングの取り組みが必要だと考えられます」

■ミッドウェー海戦の敗因

太平洋戦争の戦局を決定付けたと言われる「ミッドウェー海戦」ですが、日本の敗因の一つとして空母や戦闘機の「ダメージコントロール」があったことはあまり知られていません。米軍の空母や戦闘機は、相手からの攻撃を受けた際のダメージを最小限に抑えるためのハード・ソフト両面の対策が施されていましたが、日本の空母や戦闘機にはそうした仕掛けがなく、そのことが相手の攻撃による被害を大きくしていました。

「サイバーセキュリティにおいても同様に、攻撃を受けても一撃ではシステムダウンせず、事業を継続できるようなレジリエンスの確保が重要です。また一般的にサイバーセキュリティは防御側が不利だと言われていますが、軍事の世界においては攻撃側と防御側のどちらが有利・不利かは一概には決定付けられず、むしろ防御を完璧に固めれば防御側が有利なケースも多々あります。サイバーセキュリティにおいても、自組織のシステム構成をきちんと把握し、万全の準備を整えて攻撃を待ち受ければ『防御側不利』の定説をきっと覆せるはずです」（伊東氏）

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス（インシデント対応）プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス（インシデント対応）プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス（インシデント対応）プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/