情報共有で脅威に立ち向かう
国家保護・プログラム局内 サイバーセキュリティ・通信室で次官補を務める
アンディ・オスメント博士
DHSは安全保障を主眼にした特殊な組織だ。警察でもなく、規制や諜報を担当する機関でもない。オスメント博士は「われわれの顧客をよりセキュアにするための組織です」と説明する。その顧客とは連邦政府機関や地方の行政機関、加えて民間企業も含まれる。
まずは民間企業への活動から目を向けよう。DHSでは民間企業に対してサイバー対策にかける労力を次の割合で費やしてほしいと要請している。ベストプラクティスに80%、情報共有に15%、インシデント対応に5%。
最も労力をかけるようにとされているベストプラクティスとは、アメリカ国立標準技術研究所(NIST)が作成したサイバーセキュリティフレームワークを組織内で確立させることを指す。日本では該当の文書を情報処理推進機構(IPA)が翻訳して公開している。
●重要インフラのサイバーセキュリティを向上させるためのフレームワーク
ベストプラクティスに関してはDHSはリスクアセスメントを実施している。それぞれの組織がリスク対策の成熟度を客観的に把握できるようにするためだ。
次の情報共有とは自動指標共有と情報共有活動に分かれる。前者はセキュリティに関する情報を各方面から自動的に収集し、検証し、発信していくもの。処理の自動化を進めるための標準化も進められており、STIX(脅威情報構造化記述形式、Structured Threat Information eXpression)、TAXII(検知指標情報自動交換手順、Trusted Automated eXchange of Indicator Information)というのもある。
後者の情報共有活動とはインシデント情報を共有するための活動だ。これにはアメリカサイバーセキュリティ&通信統合センター(NCCIC)と情報共有&分析組織(ISAO)を介して行われている。
余談ではあるがNCCICは2015年1月にオバマ大統領が直接訪問し、サイバーセキュリティ対策の重要性を説いた場所でもある。
●ホワイトハウスのブログより
Securing Our Cyberspace: President Obama's New Steps to Strengthen America's Cybersecurity
どの企業もインシデントを経験したことを開示するのは抵抗がある。しかしインシデント情報を共有することはメリットがある。例えば攻撃に使われたIPアドレスを共有すれば皆がブロックするようになり、敵はIPアドレスを変更せざるをえない。あるいは誰かがインシデントを公表して周囲が対策をとれば、同じ攻撃で成功する確率が低くなる。
オスメント博士は「(敵にとって)攻撃するためのコストを上げていくことが重要です」と話す。「みんなで手を取り合い、情報を共有してサイバー攻撃に立ち向かっていこう」という姿勢が見られる。この情報共有はアメリカで功を奏してきている。
インシデント共有のための敷居を下げる工夫もある。企業にとってインシデントがあったことは「政府や他企業に知られたくない」という心理的な抵抗もある。そこでインシデント情報を共有するときは具体的な企業名は伏せ、インシデントの事実と攻撃手法に限る形にして情報共有を後押ししているそうだ。
2014年のNCCIC実績では、公共機関と民間パートナーからインシデントレポートを97,000件受信し、このレポートからアクションに結びつくアラートに変換したのが12,000回あったそうだ。
NCCICではインシデントの情報共有だけではなく、分析や対応もしている。365日24時間、休みなくだ。インシデント対応としてはアメリカコンピュータ緊急事態対応チーム(US-CERT)と産業用制御システムサイバー緊急対応チーム(ICS-CERT)がある。前者では2015年において「国家的な影響を与えるもの」と連邦政府が支援を要請したものが44インシデントあったそうだ。後者は発電や製造業の組み立てラインなどが該当する。オスメント博士によると(IoTなどで)「今後攻撃が増える可能性がある」ため、重視しているという。
