[レポート]攻撃的サイバー作戦の比較研究 — 能動的サイバー防御 対 Hunt Forward - CODE BLUE 2025 #codeblue_jp #codeblue2025

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2025で行われた以下のセッションのレポートです。

攻撃的サイバー作戦の比較研究 — 能動的サイバー防御 対 Hunt Forward

日本では、2025年5月にサイバー対処能力強化法とその施行法が制定された。この法律の注目すべき点は、「アクセス・無力化措置」であり、警察官職務執行法に基づき、サイバー有害活動防止執行官が、有害な電磁的記録を削除したり、その他の有害活動防止措置を講じたりするために「通常必要と認められる措置」を単独で講じることができると規定している（法第6条の2による）。しかし、この法律で許可される具体的な措置、詳細な手順、および関連する課題についてはあいまいさが残っている。これらの不確実性に対処するため、日本の法学専門家と米国の政策専門家が以下の問題について議論する。
1.サイバー対処能力強化法および施行法の概要
2.米国における攻撃的サイバー作戦
3.比較
4.日本への提言

Speakers
高橋 郁夫
Morgan Peirce モーガン・ピアース

レポート

• 高橋 郁夫
  • CODEBLUEの実行委員もやっている
• サブタイトルに能動的サイバー防御と書かれている
  • Active Cyber Defence(ACD)ではない
• 定義から
  • 法律家なので
  • 攻撃的サイバー作戦とは
    • 目標がありそのための活動
  • 攻撃的とは
    • 強制的な効果を有する
    • これと比較する
  • 能動的サイバー防御
    • 国家安全保障戦略で使われた言葉
    • CCELはサイバー対処能力強化法、同整備法
    • 広範な概念を持つ言葉
    • 高橋氏はACDと呼ばないほうがいいと考えている
    • 官民連携
    • 無害措置
  • 今回はアクセス無害化措置にフォーカス
    • 強制的な効果を持つものだと解釈してもいい
    • 攻撃的なものと比較する
  • Hunt forward
    • 共有されたネットワークにおける脅威アクティビティの発見と緩和
    • 逆に言うとオフェンシブとは違うかも
• サイバー対処能力強化法の枠組み
  • 組織体制整備
    • 戦略本部の強化など
    • その上に官民連携
    • 通信能力強化
    • アクセス無害化が少し別の枠で定められている
• アクセス無害化の定め
  • 警察官職務執行法の6条の2を追加
  • サイバー危害防止執行官を選ぶ
    • 何ができるのか？
    • 加害関係電気通信等があった時
    • そのまま放置すれば人の生命身体または財産に対する重大な危機が発生する恐れがあるため緊急の必要がある時
    • 対処を命じることができる
  • 仮にできたとしてそれに応じる？
    • さらに自ら適切な動作を実行できる
• これは非常に著しい被害がある場合
  • 国家や国民に対する影響、自衛隊の導入が有用な場合に内閣総理大臣の命令を出すことができると自衛隊法も改正
• 課題
  • この法律が使われる場合どうなる？
  • なかなか想像できないのではないか
  • どういう範囲でどういう活動する？
  • やりすぎにならないか？
    • それを防ぐのが法的な枠組み
  • 今の条文だけではわからないのではないか
• 視点を世界に広げる
  • アメリカの実務を紹介してもらう
• モーガン・ピアースさん
• アメリカではちょっと違う戦略を取っている
  • Defend Forward
  • 実際にどう使われているか
  • 日本にとっての教訓
• アメリカの状況
  • Defend ForwardとPersistent Engagement
    • 前方防衛
    • 悪意ある問題になる前にプレッシャーをかける
    • サイバーオペレーターはサイバースレットを止めることができる
    • 敵対的な勢力に対して国防総省を使う
  • なぜアメリカはこうしたのか？
    • アメリカは継続的な悪意ある活動を経験していた
    • 色んな国から来ていた
    • 単にアメリカのネットワークを防衛するだけでは不十分
    • 能動的に抑止しないといけない
    • 権限を変更する必要がある
    • 2018年にサイバー戦略を改定
    • ブロックにならないように改正
    • NSPM-13で合理化した対応を取ることができるとした
      • 議会が認めた
    • 特定のサイバー作戦からTitle10に
      • 承認の数が少なく実行できるようになった
      • 持続的に関与できるように
• ケーススタディ
  • どのように前方防衛を実務的にやっているか
  • 2018年が始めての実例と言われている
    • ロシアのインターネット・リサーチ・エージェンシーを無効化
    • 偽情報を流して選挙結果を変えようとしていた
    • トロールファクトリーの活動が増えていることをアメリカ政府は認識していた
    • インターネット接続をテイクダウンして偽情報を拡散しないようにした
    • 実際の姿勢を示した
    • これはスピードと目的意識を持って行ったという
  • 2016年
    • Operation Glowing Symphony
    • ISIS
    • ISISがインターネットを使えないようにした
    • 金融的なアクティビティも減速させた
    • ISIS関連のアカウントをテイクダウンした
• Hunt Forward Operations(HFOs)
  • 国外での活動
  • ウクライナでもやっている
  • 相互に連携し情報を持ち帰って研究することもできる
  • ロシアからの活動が増えている
• 法執行
  • FBIや司法省がどのような役割をしているか
  • botnetやC2欧州令嬢を取り付けている
  • 刑事訴訟の執行など
  • Flax Typhoon 2024
• 日本とアメリカを比較していく
• 共通するところ
  • 契機は強制的
    • しかしこれを持たないものもある
    • 犯罪を止める、呼びかけるのは法的な根拠はなくても良い
    • アクセス無害化措置に基づかなくてもできることがどれくらいあるか？
    • そのまま放置すれば危害が発生することが要件
    • サイバー犯罪が起きているけどそのレベルに達していない場合
    • それも考えていく必要がある
• 本質論
  • 日本は能動的サイバー防御という概念を元に法執行機関と自衛隊や準軍事的な活動のための準備をしている
  • アメリカは法執行と軍事が別れている
  • アクセス無害化措置はHack Backと捉えられがちだが地味な対策も大きな割合を占めるのではないかと推測している
• スコープ
  • アメリカでは2018年の選挙での適用
  • 日本でも直近選挙で話題
  • フェイクニュースが事実かどうか
  • 一方で認知が宦官に攻撃されやすいところも問題
  • アメリカではそれもオフェンシブと捉えている
  • 日本では人身被害とかにつながると考えづらく対象外になりやすいと解釈できる
• 安全策
  • 間違ってテイクダウンしたら？
  • 日本では組織を作って判断していく
  • アメリカは操作感が供述書で出して裁判官が決める
  • 国のアプローチが違っている
  • 実際にどうやって安全策を確認するのか
• 挑戦
  • into the Gray Zone
  • 強度が弱いものから強いもので、真ん中のところはどうするの？
  • 曖昧なら民間企業を使っていいのでは？という内容
  • ホワイトワームやビーコンを埋め込むなどの手法も考えられるが実際何を使うか
  • 交戦規定(ROE)
    • 高専を開始するために発令される命令
    • いつ誰がどのようなツールでどのプロセスで命令が出るか
  • グレーゾーンでのせめぎ合い

感想

実効性をどうやって持っていくか気になりますね。