IT・セキュリティ担当者も知っておくべき？JPCERT/CC佐々木勇人氏が語る「サイバー安全保障」の考え方

“早期検知”がもたらす新たなジレンマ、IT・セキュリティ担当者の役割

　能動的サイバー防御の進展により、攻撃キャンペーンを初期段階で検出する機会が増えることが期待される。しかし、そこにはジレンマも存在するという。

　「従前の調査とは、すべての攻撃が終わった後の“残骸”を掘り起こす作業ともいえます。これには時間がかかる反面、『被害の全容が比較的把握しやすい』という利点もあるのがポイントです。攻撃が初期段階で発覚するようになれば対応こそ早くなりますが、『現場での情報があまり残っていない』というケースが増えていくでしょう。これでは、攻撃者が何をしようとしていたのか、どこまで侵入しようとしていたのかが逆に見えない現象が起こってしまうのです」（佐々木）

　つまり、早期発見により深刻な被害は免れる可能性が高いものの、逆に調査が困難となり、攻撃の全容把握や行政庁への説明が複雑化するという新たな課題が指摘されているのだ。

　また、速報の義務化により、現場では行政庁との複数回にわたるコミュニケーションが避けられなくなるという企業側の課題もある。これについて佐々木氏は、「72時間以内の報告ということで非常にシビアな状況ではあるが、そうした中でもやはり専門機関、あるいは情報共有活動のハブ組織へ照会をかけるという取り組みが重要だ」との対応策を提案した。

　サイバーセキュリティの世界では、被害組織や調査に入るベンダーにとって初めてのケースとなる攻撃を受けることも珍しくない。その場合、対応しようにも未知との戦いを強いられることになる。他方で、専門機関や情報共有活動のハブ組織には、実は既に同じ類型の攻撃に関する情報が寄せられている場合がある。

　「こうした“先に知見を得ていそうな組織”に照会をかけて、概ねどういった攻撃なのかという推定を行った上で、最初の72時間以内の速報を出していただくことを推奨します」（佐々木）

　情報取扱い関係者の制限により、新しいインシデント対応条件が増加することは避けられず、現場での準備が急務となっている。セキュリティ・クリアランス制度の導入に向けた体制整備も重要なアジェンダとして浮上している。

　サイバー安全保障の本格化は、従来の「被害後対応」から「攻撃中迎撃」への根本的な転換を意味する。IT・セキュリティ担当者には、速報体制の整備、専門機関との連携強化、早期検知時の調査手法の見直し、機微情報取扱い体制の準備など、多角的な対応能力の向上が求められる。

　佐々木氏が示すように、「高度なアクターとの対峙は長期戦になる」ということを前提とした組織体制と人材育成は不可欠だ。これらの動向と制度変化に常に注目し、組織のサイバーレジリエンス向上に向けた対応を継続的に進めることが、現代のIT・セキュリティ担当者に課せられた責務である。