周回遅れ｢能動的サイバー防御｣で日本は変わるか 攻撃を未然に防ぐのにこれから必要なこと

そもそもサイバー攻撃においては攻撃者が優位である。攻撃者は、成功する可能性が高い時間、対象、手法（TTPs: Tactics, Techniques, Procedures）を選択できるからだ。

能動的サイバー防御は、攻撃者優位から防御者優位へのパラダイム・シフトを起こすことを目的とするものでもある。そんな能動的サイバー防御は、国、組織、論者によって解釈の幅がある。

例えば、アメリカ国家安全保障局（NSA）は、こう述べている。

「アクティブ・サイバー・ディフェンスは、重要なネットワークやシステムに対する脅威のリアルタイム検出、分析や軽減を同期することにより、予防的かつ再帰的なサイバー防御の取り組みを補完する。

この概念は、国防総省のネットワークだけでなく、すべてのアメリカ政府および重要インフラ・ネットワークの防御に適用できる。アクティブ・サイバー・ディフェンスは保護対象のネットワーク内でアクティブであるが、攻撃的という意味ではない」

アメリカ政府や企業・団体およびそれらに所属する人々のITセキュリティ教育を目的として1989年に設立されたSANS Instituteは、2015年に発表した白書の中で、サイバーセキュリティのスライディング・スケールをカテゴリーごとに区分けしている。

①アーキテクチャー、②パッシブ・ディフェンス、③アクティブ・ディフェンス、④インテリジェンス、⑤オフェンスーーの5つで、アクティブ・ディフェンスを「アナリストがネットワーク内部の敵対者を監視し、対応し、学習するプロセス」としている。

これらカテゴリーは密接に関連し、重なる部分もある。例えば、インテリジェンスである。

インテリジェンスとは、サイバー空間における敵対行動に関連する情報を収集・分析して、それらへの対応に役立てるものであるが、インテリジェンスには異なる性格のものが含まれる。

例えば、敵のネットワーク内で行われる情報収集・分析は、公開情報の収集・分析よりもオフェンスに近く、より迅速に敵のネットワークに対する攻撃的行動に移行できる。一方で、脅威インテリジェンスという形でインシデント対応データから情報収集・分析を行うことはアクティブ・ディフェンスに近く、これら情報は、主として、自らのネットワークを防御する目的で用いられる。

一方で、2016年にアメリカのジョージワシントン大学から発表された、アクティブ・サイバー・ディフェンスに関するタスクフォースの報告書"Into the Gray Zone"は、パッシブ・ディフェンス、アクティブ・ディフェンス、オフェンシブ・サイバーの区分を用いた。同報告書はアクティブ・ディフェンスをグレイ・ゾーンとし、さらに低インパクト／リスクと、高インパクト／リスクに区分している。