最近、Active Cyber Defense(ACD)という言葉をよく聞きますが、ニュース番組などを見ていると、そもそも正しく理解されているのか、疑問に感じることがあります。7月中旬に台湾有事シミュレーションが日本戦略フォーラム主催で政治家も参加して行われましたが、この設定事例では、既に我が方のシステムが攻撃され実害が生じている段階で、攻撃源を探知して反撃する行為をActive Cyber Defenseと呼んでいます。しかし、これをActive Cyber Defenseと呼べるのでしょうか。Cyber Defenseそのもの、或いは防禦的サイバー作戦ではないでしょうか。攻撃を受けてから取り組む反撃をACDと呼ぶのは、諸外国との間で誤解が生じると思います。そこで、UKUSA諸国は2010年頃以来、ACDをどう定義しているか紹介します。
(1)英国政府の定義に従えばACDとは「サイバーセキュリティの分析官が自己のネットワークに対する脅威を理解し、攻撃を受ける前にこれら脅威と戦い又は防禦する措置を講じること」です。つまり、脅威を事前に把握し、事前に対抗措置をとることが特徴点です。
(2)カナダのシギント機関CSEの漏洩資料によれば、ACDの3つの構成要素を、①インターネットとの接続点での防禦、その前提として、②インターネット空間におけるシギント活動、及び③敵空間に対するCNE(即ちC- CNE)です。つまり、事前の脅威解明がACDの肝です。
(3)ACDの典型としては、2013年のスノーデン漏洩資料で暴露された米国NSAのTutelageシステムがあります。これは平時のC-CNE活動によって潜在的攻撃者(ハッカー集団)のシステムに事前に侵入して、そこで攻撃者の意図、標的、技術(マルウェアの構造等)を事前に把握して、攻撃を受ける前に対抗手段をシステムのインターネット接続点に設置するものです。漏洩資料によれば、2011年2月現在、NSAは世界の28の脅威グループを解明して、これに対する対抗手段operational effects798個を国防関係システムに設置していました。また、この中の相当数は中国関係であり、当時、NSAが解明対象としていた中国の脅威グループは12ですが、漏洩資料を分析すると、その内、7つ又は8つの脅威グループについては全部又は一部を解明して対抗手段を設置いたことが分かります。つまり、ACDの最重要点は、攻撃を受ける前に脅威グループのシステムに侵入して、脅威の内容を把握することなのです。
このTutelageシステムは、その後米国以外のUKUSA諸国にも導入されたようですし、漏洩資料によれば、2013年春にはドイツ当局もNSAにTutelageシステム導入の打診をしていました。
(4)しかし、このようなACDを行ってもサイバーセクキュリティ対策は、十分ではありません。まず、重要インフラなどでTutelageシステムの保護対象外のシステムが存在します。また、世界中の全ての脅威グループの全貌を事前に把握することは不可能ですから、Tutelageシステム自体が完全なものではありません。そこで、米国は2018年からはDefending Forwardへと移行しています。つまり、インターネット接続点における対処だけでは不十分なので、接続点より前で防禦する。Defending Forwardでは、脅威がインターネット接続点に到達する前に、敵空間内或いはインターネット空間で脅威を阻止しようというものです。つまり、必要とあれば、脅威グループによる攻撃前にそのサーバーに対する先制攻撃も行うという政策です。Defending Forwardでも、その基礎は、攻撃を受ける前に脅威グループのシステムに侵入して、脅威の内容を掌握することです。
(5)この相手のシステムに侵入する行為は、シギント活動(Computer Network Operation)そのものです。ですから、Defending Forwardにおいて、米国ではNSAとサイバー軍が協力して当たっているのです。