近年、国家レベル(もしくは、テロリズムのような国家に準じるレベル)が関与するサイバー攻撃が報告されている。いくつか例をあげると、

  1. オペレーションオーロラ:2010年1月、GoogleなどのIT企業を攻撃目標とし、ソースコードなどが盗まれた。
  2. スタスクネット:2010年7月、イランの核濃縮設備の産業制御システムを攻撃対象にした攻撃。一時的に制御不能になった。背後には、国家レベルのプロジェクトが存在したとされる。
  3. ナイトドラゴン:2011年2月、石油関連のエネルギー企業を攻撃目標とした攻撃。プロジェクトやファイナンス情報が狙われた。名前のドラゴンは「中国」を意味し、攻撃者は、中国のハッカー集団とされる。

図1 サイバー防衛報告書

さて、このような攻撃をAPT(Advanced Persistent Threat)と呼ぶ。従来の金銭目的や政治的な抗議と異なり、国家の指示や資金的な援助によって、特定の攻撃目標に対して行われるサイバー攻撃である。実際に、オペレーションオーロラでは、中国軍に関係する学校のサーバーが使われたとの指摘もあった。このような背景を受け、マカフィーでは、ベルギーのシンクタンクSDA(Security & Defence Agenda)と共同で、サイバー防衛に関する世界の専門家の意識調査を行った。その内容を一部を紹介しよう。また、同時にこのような脅威に対抗するマカフィーのセキュリティソリューションについても簡単に紹介したい。なお、日本語の概要は、こちらにてダウンロード可能である。

サイバー防衛報告書

アンケート対象となったのは、世界27カ国の主要な政策立案者と政府、企業、学会におけるサイバーセキュリティの専門家約80名と世界35カ国の世界的なリーダー250名である。80名の専門家に対しては綿密なインタビューを行い、250名のリーダーには匿名で調査を行った。こうして、各国のサイバー防衛力と戦力の実態に迫る。発表は、マカフィーのサイバー戦略室兼グローバル・ガバメント・リレイションズの室長・本橋裕次氏である。

図2 本橋裕次氏

さて、まずはアンケートの結果が示された。

図3 アンケートの結果

57%の回答者がすでにサイバー空間上の軍拡競争がおきていると考えている。さらに36%はミサイル防衛よりも、サイバーセキュリティを重視しているが、経済力の乏しい小国では、多額の費用がかかるミサイル開発よりも、サイバー攻撃が効率がよいといわれている。そして、今回の調査から導き出されたの各国の防衛状況の評価が、図4である。

図4 各国の防衛状況の評価

この評価は、Robert Lents元米国国防次官補代理(サイバー情報保証担当)のモデルを採用したものである。まさに、各国のサイバー防衛の取り組みと攻撃阻止能力を表すものだ。まず気がつくのは、通常の軍事力や防衛力と異なることであろう。米国、ロシア、中国といった国々が上位にきていないことだ。この点について本橋氏は、イスラエルは周辺諸国と係争が多く、軍事に関して注力しているからと指摘する。

スウェーデンは、もともと軍事産業が発達しており、中立的ではあるが高い軍事力を維持してきた。また高福祉で知られる北欧国家では、国民の政府に対する信頼も高い。結果、個人情報などへの国のアクセスなどが行いやすい点もあると指摘する。フィンランドでは、2011年末にサイバー兵器を自らの手で作り、自国を防衛することを発表している。これらが上位にランクされた理由であろう。逆にアメリカなどが低い位置にあるのは、スウェーデと逆の要素が働く。プライバシー問題などから国民に拒否感が強いとのことだ。さらに重要インフラなどが民間企業で3,000社以上に登り、すべてにセキュリティ対策を行うことが難しいとされる。ただし、FBIやCIAといった政府機関では、極めて高い防御力を有しているとのことである。

そして、日本であるが、この報告書に寄せられた奈良先端科学技術大学院大学教授(元内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官)の山口英氏のコメントを紹介した。その内容は「現在は自然災害対策に多くの資金が必要とされている。防衛予算は削減され、サイバーセキュリティも防衛力強化の5か年計画でも最優先事項から外れている」であった。他にもコメントがあったが、図4の評価に繋がっている理由とうかがえる。そして、重要な課題として、以下をあげている。

  • 攻撃態勢の確立
  • 国の攻撃能力の評価
  • 統合が進むグローバルシステムの保護
  • SCADAシステムの保護対策
  • セキュリティとプライバシー
  • ネットの中立性
  • 国際的なルールの確立
  • より強固なサイバーアーキテクチャの構築
  • 最も脆弱な国々への対処
  • インターネットサプライチェーンの保護

この中でも、4のサイバー攻撃で最初に狙われる重要インフラへの攻撃に対し、いち早く検知し、保護する対策が求められるとのことである。さらに実現に向け、5のプライバシーも大きな課題となるだろうと指摘する。そして、対策として「動的に防御」が求められるとした。具体的には、

  1. 高い予測機能
  2. リアルタイムでリスク分析
  3. 攻撃を検知し、防御可能な迅速な対応が可能なシステム

などとなる。

マカフィーのサイバーセキュリティソリューション

次に、マーケティング本部執行役員本部長の斎藤治氏が、このようなサイバー攻撃に対し、マカフィーが提供するソリューションを紹介した。

図5 斎藤治氏

ソリューションには2つのキーワードがある。それは、多層防御と動的防御である。図6のような関係になる。

図6 サイバーセキュリティの2つの要素

多層防御はいろいろなレイヤーにセキュリティ対策を施すものである。しかし、欠点として全体を把握するのが難しい。そこで、多層防御を機能させるために、配備されたセキュリティ対策全体を統合管理し、状況を可視化するということが重要と位置付ける。それを実現するのが、動的防御である。まずは、脅威状況を把握するGTI(Global Threat Intellgence)である(図7)。

図7 GTI

リアルタイムで最新の脅威情報を収集するクラウドベースの技術基盤となる。こうして収集された情報は、マカフィーによってすぐさま対策情報として整備される。また、ePO(ePolicy Orchestrator)は、多層防御の現状、GTIで収集された脅威情報を可視化するものだ(図8)。

図8 ePO

ePOは、専門的なセキュリティの知識持たない経営者でも、速やかに判断が行えるようになっている。実際の脅威に対しては、あらかじめシナリオが用意されている。最後に、2012年夏にリリースされる予定のMcAfee Deep Defenderを紹介しよう。従来のセキュリティ対策では、OSの上で動作していた。したがって、ルートキットなどを検出しにくい。McAfee Deep Defenderでは、OSの外部からふるまいを検知する(図9)。

図9 McAfee Deep Defender

実際には、CPUに実装された仮想化支援技術VT-xテクノロジが使われている。仮想化ではOSを経由せず、ゲストOSが直接CPUと処理を行う。それを応用し、CPUのマシン語レベルのふるまいを直接監視するのである。パターンファイルにないようなインジェクションなども検知できる。インテルとマカフィーの技術が融合して実現したものである。新しいセキュリティのアプローチとして注目される。実際のリリースでまた紹介したい。