サイバー攻撃を取り巻く全体の状況や、Colonial Pipelineを標的とした最近のランサムウェア攻撃などのインシデントに目を向けると、サイバーセキュリティの能力を強化するための早急なアクションが必要になっていることがわかります。バイデン大統領は最近、サイバーセキュリティに関する大統領令を発令しましたが、これは、米国が正しい方向へと踏み出した大胆な第一歩であると言えるでしょう。

この大統領令には、セキュリティ保護に関するさまざまな条項がありますが、検知・対応機能の強化の必要性を特に強調しており、特に注目すべきは、「エンドポイントにおける検知と対応(EDR)の機能を政府関係機関全体に展開」することを目指している点です。これが実現すれば、連邦政府の各機関に展開されているすべてのエンドポイントを一元的に監視して不審な行動の有無をリアルタイムに確認できるようになります。

そして、この投資に加え、政府関係機関内での脅威インテリジェンスの共有を進めれば、連邦政府は、サイバー攻撃の兆候を検知する能力を強化でき、より迅速に攻撃に対処することが可能になります。

また、この大統領令の最後のセクションには、特に注目すべき事柄が記載されています。このセクションでは、インシデント対応機能の効率化と強化について言及しています。ここでは、連邦政府の機関がサイバー攻撃にさらに効果的に対処できるようにするための、標準のプレイブックの作成を目標にしており、またインシデント対応の良否を判断するために、システムログの保存要件の導入を目指しています。

この大統領令で想定しているレベルの攻撃を防ぎ、攻撃に対処できるテクノロジーを導入している組織の割合はグローバルレベルでわずか40%にとどまります。そのため、この大統領令の持つ意味は重要です。

攻撃のオプションと防御のオプション

この大統領令では、サプライチェーンのセキュリティ対応で、3つの「R」、すなわち、「Response(対応)」、「Report(報告)」、「Reinforce(強化)」の能力を重点的に整備するよう連邦政府の機関に求めています。ここで特に目指しているのは、攻撃への対応のスピードを早め、重要な情報の共有を図り、過去の攻撃で学んだ知見を、将来、同様の攻撃を受けたときに防御に生かせるようにすることです。

しかし、取り上げる必要のある「R」の要素がもう1つあります。「Retaliation(対抗措置)」の「R」です。攻撃が特殊であると、因果関係を正確に割り出すことが技術的に困難であるため、通常、この要素が話題になることはありません。

攻撃者は乗っ取ったネットワークや追跡のできないプロキシを悪用して攻撃を仕掛けます。また、さまざまな難読化のテクニックを使って自らの素性を隠したり、相手の判断を惑わす数多くのエビデンスを用意して捜査の目を欺き、無実の第三者に罪を被せようとしたりします。

対抗措置という概念は、法的な根拠の観点ではあいまいな点を残す可能性もあります。対抗措置の意味する内容は多岐にわたり、攻撃ツールの調査と使用、攻撃ソースの迅速な追跡、犯罪者の特定と逮捕に向けた取り組みの強化などがこれに該当します。

さらには、積極的に攻撃を仕掛けてきたり、サイバー犯罪者とわかっている人間をかくまったりする外国政府へ制裁措置を科すことや、攻守逆転に向けた、リバースエンジニアリング、弱点の特定、犯罪者のシステムに対する脆弱性攻撃などの取り組みによる、攻撃ツールの積極的な無効化なども対抗措置に該当します。

大胆な変革と大規模の投資

ここまでの内容が数多くの事柄を扱っているように見えるのは、以下に示すような趣旨を盛り込んでいるためです。大統領令の内容を以下に引用します。

段階的にセキュリティを強化していく方法では、必要なセキュリティを実現することはできません。今、連邦政府に求められているのは、米国の人々の生活を支えるうえで不可欠な複数の組織をサイバー攻撃から守るために、大胆な変革を進め、大規模な投資を実施することにほかなりません。クラウド、オンプレミス、ハイブリッドのいずれの環境においてもコンピューターシステムをサイバー攻撃から守るために、連邦政府は、あらゆる関係当局の力を借り、あらゆるリソースを活用しなければなりません。セキュリティ対策の対象とするシステムには、データの処理を担うシステム(情報テクノロジー:IT)と、安全を確保するための重要な装置を動かすシステム(運用テクノロジー:OT)を含める必要があります。

この大統領令で述べられている内容は、サイバーセキュリティ全般の観点ではもとより、連邦政府のサイバーセキュリティの視点からも、大きな前進を意味します。この大統領令では、大幅かつ徹底したセキュリティ能力の改善につながるサイバーセキュリティの取り組みを優先しており、連邦政府の長を起点として、改革がリードされるものと期待されています。

もちろん、いくつかの未知の要素がまだ残っています。現在、政府は毎年数千億ドルを物理的なセキュリティの強化に費やしていますが、今やコンピューターによって機能している世界においては、戦いの場がこれまでとは別の場所に変わっています。しかし、防御を固めようとして力を注いでいる領域はこれまでのままになっているのです。

連邦政府のインフラストラクチャのモダナイズはきわめて優先順位の高い事業です。それだけでも、莫大なコストがかかり、実現には数年を要します。今後10年で数兆ドルの支出が必要になるでしょう。

民間の業界も、今後発生する数多くの課題の解決に貢献できる可能性を秘めています。しかし、国家として、サイバーセキュリティの対応能力を強化し、脅威に対するレジリエンスを高めるには、官民共同での取り組みが不可欠です。

敵は人間であり、適応性とインテリジェンスを備えているので、確実な対応策というものは存在しません。民間部門が課題に取り組む場合、商務長官がサプライチェーンのセキュリティの強化で求めているような情報のほか、新たな基準、プロトコル、ツールに関して出されている勧告も重要になります。

この大統領令には、見逃すことのできないある事実が明確に示されています。それは、ついにサイバーセキュリティがエネルギー設備や交通機関などの重要な国家インフラ資産と同等に語られるようになったという事実です。この点だけでも、この大統領令によってもたらされた大きな進歩です。これをきっかけとして、さらに米国のセキュリティが強化されることを期待します。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、 国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。 複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。 https://www.cybereason.co.jp/product-documents/brochure/6189/ エンドポイントセキュリティ選定ガイド