アクティブディフェンスは軍事またはサイバーセキュリティ分野中の防御戦略を指す。サイバーで、アクティブディフェンスはActive Cyber Defenseともいわれる。アクティブディフェンスはパッシブディフェンスに対応する概念である。
一、定義
アクティブは、侵入行為がコンピューターのシステムに悪影響を与える前に、適時警告を正確にし、リアルタイムに弾性防御システムを構築し、情報システムが直面するリスクを回避、転送、低減する安全措置である[1]。アクティブディフェンスも一種の変容的アタックタイプセキュリティ対策(offensive security)である。アタックセキュリティ対策の焦点は侵入者を探すことである。場合によっては、コンピューターのシステムが彼らの侵入能力を喪失させたり、彼らの侵入行為を破壊したりする。
二、アクティブディフェンスとパッシブディフェンスの比較
パッシブディフェンスはコンピューターがアタックされた後、取るセキュリティ対策である。例えば、システムの中のセキュリティ監査ツール(ファイアウォールまたはウイルス対策ソフト)は、コンピューターのシステム内のウイルスファイルの存在をスキャンまたは検出し、それら殺すまたは完全に削除する。システムのバグを修正することも、パッシブディフェンスである。パッシブディフェンスも大部分の人々の口中では、デフォルトのサイバーセキュリティディフェンス措置である。
主要なパッシブディフェンスは以下の4種である[2]:
1. ファイアウォール技術(従来型ファイアウォール)。
2. 従来型侵入検知技術(IDS)。
3. 悪意のあるコードスキャン技術
4. ネットワークモニタ技術
アクティブディフェンスとパッシブディフェンスの違いは、前者が脅威を事前に防ぎ、揺りかご中の潜在的な脅威を殺す。後者はコンピューターが侵入された後に受動的にセキュリティ対策を取るのである。簡単な例を挙げる,大部分のウイルス対策ソフトにとっと、既知のウイルスを受動的に検知して駆除するしかない。ここで受動的とは、まず新ウイルスがあって、それらウイルス対策ソフトベンダーがウイルスの特徴コードを抽出して自分のウイルス対策ソフトのデータベースに入力する。最後、ユーザーはウイルス対策ソフトでコンピューターにとって、ウイルスを検知して駆除する。
アクティブデイフェンスは、アクティブにトラフィックの変化とプログラムの行動をキャプチャし、これを分析し、ウイルスの疑いのある行動があれば、直ちにユーザーに処理を通知し、ゆりかごの中に脅威を殺す目的が達成される。アクティブデイフェンスは、従来の「特徴コードチェック」技術による新ウイルスのヒステリシスを補う。
三、アクティブディフェンスの方法
アクティブディフェンスは、主にコンピューターシステム全体のリアルタイム監視であり、ネットワークトラフィックの変化をすばやくキャプチャし、プログラムの動作を分析し、疑わしい動作をすべて禁止して、コンピューターシステムを保護する。 同時に、アクティブデイフェンスシステムは、コンピューターを接続する方法の疑わしい動作(潜在的な侵入動作)およびその他の有用な情報(侵入者の情報を知るなどなど)も収集する。 ユーザーは、この情報を利用して侵入者に対して攻撃手段を利用して対抗することができ、侵入を困難にすることができる。
主要なアクティブデイフェンス技術は以下の8種である[2]:
1. データ暗号化
2. アクセス制御
3. 権限設定
4. 脆弱性スキャン技術(ネットワークセキュリティスキャン技術)
5. 蜜壺技術
6. 監査追跡技術
7. 侵入防護技術(不正侵入検知防御システム(IPS))
8. ファイアウォールと侵入検知連動技術
四、アクティブディフェンスの作用
- 侵入者の侵入速度を遅くしたり、侵入したりして脱線させ、侵入行為を継続できなくさせたり、侵入者のミスの確率を高めて、その存在(IPアドレス)を暴露したり、侵入メディアを暴露したりする[3]。
- 侵入コストを増やす。アクティブディフェンスは「非対称防御」を意味する可能性もある。
- 内外の脅威を検知し、阻止することができる。インターネット上(外部からの脅威)の侵入者がLANに侵入する行為を検出し、阻止するだけでなく、LAN内(内部脅威)の攻撃行為を検出することができる。
- 侵入者の犯罪行為を証拠収集する。アクティブディフェンスシステムは、侵入行動を事前にアクティブに検出し、破壊することができます。侵入手法と脅威情報を収集し、そしてアクティブ防御システムのデータベースに記録する。アクティブディフェンスシステムは、類似の事件が再発しないように対応策を作り出する。
- 侵入者に反撃を発動する。アクティブディフェンスシステムは侵入者に対して反撃行為を発動する。ある特殊な場合、これは通常軍事と法執行部門のために保持する権利であり、これらの部門は資源があり、攻撃源を確認し、適切な行動をとる権限がある。
五、アクティブディフェンスによる隠れる危険
主な潜在的なリスクは、アクティブディフェンスの目的の第5点―侵入者に逆襲をかける。アクティブディフェンスの特徴の一つは、アクティブディフェンスのシステムを通じて、侵入された者は侵入者の住所、侵入の媒介など、侵入者の大部分の情報を得ることができる。アクティブディフェンスは侵入行為を破壊する同時に、収集した有効な情報に基づいて侵入者を反撃し、侵入者を撃退することもできるのだ。アクティブディフェンスが侵入者に対して反撃する時、安全が目的ですが、本質的にはサイバー攻撃と同じである。
つまり、これらのディフェンス方法が合法かどうか、社会的な共通認識を達成したかどうかがは問題である。すなわち、安全策として(または反撃行為) 侵入者に反撃する程度のボトムラインはどこなのだろうか。これらのディフェンス方法が合法でないと、侵入者は攻撃者として起訴される可能性があり、犯罪として認定されるリスクがあるのだ。また、ディフェンスのシステムによって侵入行為を反撃すると、侵入者を激怒させ、報復行為を引き起こす可能性がある。
今のところディフェンスの反撃の度数を明確に定義する法律はないである。どのような場合は正当な安全策と考えられているだろうか、皆は今の所は明確できない境界に徘徊するしかない。
六、アクティブディフェンスにおける守備反撃についての提案
一般ユーザー、個人、企業などがアクティブディフェンスシステムを適用する際に、主にアクティブ防御機能の1~4点を使用している。コンピュータシステムが侵入されていることを発見した時、アクティブディフェンスシステムは侵入者が残した痕跡を証拠として収集する。これらの痕跡は法律の重要な証拠として侵入者を起訴する。
最も典型的なケースは1994年に、Kevin Mitnickがサンディエゴのスーパーコンピューターセンターに侵入し、日系米国人のコンピュータ安全専門家の下村努をからかって、彼のパソコンのファイルを盗み出したり、会話ハイジャック技術を使って彼のウェブサイトのトラフィックを盗み出したりした。
その後、下村努さんが「蜜壺」を設立して、Kevin Mitnickを詐欺し、「電子ステルス化」の技術で追跡したところ、1995年に再びKevin Mitnickが逮捕された。
似たような蜜壺技術や欺瞞技術は、アクティブディフェンスにおける合法的な行為である。多くのウイルス対策ソフトベンダーはサイバーに様々なタイプの蜜壺を設定して、ネット上のハッキング手法と新ウイルスを捕獲するために使用される。彼らのウイルス対策データベースを改善するため。
個人の反撃行為は現地の法律を違反するかもしれない。私的に反撃行動を取らないことを提案する。
特殊ユーザー,軍、政府安全部門などアクティブディフェンスシステムを有効にする際に、アクティブディフェンス機能の1-4点を使うと同時に、アクティブディフェンスの防御反撃も利用する。これによって侵入者を検索して、反侵入して、ハッカーの侵入攻勢を破壊したり、技術的手段を通じてハッカーのコンピューターに侵入したりする。
これら特殊ユーザーにとして、彼らのこのような行為は合法的であり、軍と政府安全部門は国家の安全を守ることを目的としている。または特殊的法律をあるは彼らの反撃行為を支持している。
七、アクティブディフェンスの発展
中国の比較的に有名なアクティブディフェンスメーカーは「微点」というアンチウイルスソフト会社である。北京東方微点情報技術株式公司は、「東方微点」と略称し、英語名はMicropointという。東方微点が公式サイトで紹介したところによると、劉旭(東方微点創始者)とそのチームは「プログラム行動自主分析判定技術を採用し、2005年3月にアクティブディフェンスソフトの開発に成功した」という。微点アクティブディフェンスソフトは北京オリンピックの開会式と閉会式運営センターで唯一使用されたアンチウイルスソフトである。東方微点の公式は、その「アクティブ防御」技術がプログラム行動を分析してウイルスを判断すると主張しています。従来のアンチウイルスソフト「ヒステリシス」の弱点を変えた。微点は国際で唯一、アップグレードをせずに「パンダの焼香」を防ぐウイルス対策ソフトです。東方微点のアクティブディフェンスは中国では指折りほどだが、ウイルス対策は普通である。
米国の有名なネットワークデバイスのプロバイダ、Cisco社の次世代のセキュリティ製品には、アクティブ防衛システムが加わっている。2019年2月にCiscoが発表した《シスコ サイバーセキュリティシリーズ 2019 • 脅威レポート》[4]によると、次の3つのツールの中にはアクティブディフェンス機能が含まれている。
1. 高度なマルウェア検出および防御テクノロジー(Cisco AMP(高度なマルウェア制御)など)は、未知のファイルを追跡し、既知の悪意のあるファイルをブロックし、エンドポイントおよびネットワーク アプライアンスでのマルウェアの実行を阻止できる。
2. 高度なマルウェア検出および防御テクノロジー(Cisco AMP for Endpointsなど)は、エンドポイントでのマルウェアの実行を防ぐことができる。また、最も強力な防御策でさえ通過する1% の攻撃について、感染したエンドポイントを隔離、調査、および修正するのにも役立ちる。
3. ネットワーク セキュリティ(シスコの次世代ファイアウォール(NGFW)や次世代侵入防御システム(NGIPS)など)は、インターネットからネットワークへの侵入を試みたり、ネットワーク内の移動を試みたりする悪意のあるファイルを検出できる。ネットワークの可視性およびセキュリティ分析プラットフォーム(Cisco Stealthwatch など)は、マルウェアがペイロードを活性化させている兆候を示す内部のネットワーク異常を検出できる。最後に、セグメンテーションは、ネットワーク内の脅威の水平移動を防止し、攻撃の拡散を封じ込めることができる。
そのうちAMP は、非常に優れたセキュリティ インテリジェンスとダイナミック マルウェア分析を基盤としています。シスコの Talos Security Intelligence and Research Group および Threat Grid の脅威インテリジェンス フィードという、業界トップクラスのリアルタイムの脅威インテリジェンスとビッグデータ分析を組み合わせて活用します。このデータはクラウドから AMP クライアントにプッシュされるため、最新の脅威インテリジェンスを活用してプロアクティブな脅威対策を講じることができます。お客様にとってのメリット[5]:
- 150 万件の着信マルウェアのサンプル(1 日あたり)。
- 160 万個のグローバル センサー。
- 1 日あたり 100 TB のデータ。
- 130 億件の Web 要求。
- エンジニア、技術者、および研究者で構成されるグローバル チーム。
- 24 時間運用。
八、まとめ
アクティブディフェンスという用語は、最初は軍事用語で登場しましたが、その後、インターネットの台頭により、インターネットセキュリティへの関心も高まっている。技術的な理由により、初期のインターネットセキュリティ戦略は受動的な防御した。21世紀初頭、世界のウイルス対策ソフトウェアメーカーは、ウイルス対策ソフトウェアにアクティブな防御技術を追加した。ビッグデータ分析テクノロジー、クラウドコンピューティングテクノロジー、SDNテクノロジー、およびセキュリティインテリジェンスコレクションの開発により、情報システムのセキュリティ検出テクノロジーは、セキュリティポスチャの分析においてますます正確になり、セキュリティイベントの警告はよりタイムリーかつ正確になり、セキュリティ防御は徐々に受動的になってきています 防御はアクティブな防御に移行した。
一般的に、アクティブな防御技術は単独では存在せず、既存のセキュリティシステムに適用されます。アクティブディフェンステクノロジーと従来のパッシブディフェンステクノロジーの組み合わせにより、新世代のセキュリティシステムが形成される。たとえば、シスコの次世代ファイアウォールNGFW-Firepowerである。
従来からの受動的なセキュリティ対策と比較して、有効なセキュリティ対策と思われているアクティブディフェンスですが、法的、あるいは技術的な課題も残されている。能動的な防御を口実に、行き過ぎた対策を講ずることを認めると、逆に攻撃者にとって有利な状況を生みだす温床にもなりかねません。アクティブディフェンスを今後も有効に活用するためには、技術的な視点だけでなく、慎重な議論を交わし法的な整備を整える取り組みが必要となる[6]。
以上
転載はソースを説明してください。読んでくれてありがとうございます。
参考文献:
- active defense
- シスコ サイバーセキュリティシリーズ 2019 • 脅威レポート
- Cisco Advanced Malware Protection
- アクティブディフェンスとは?メリットデメリットや今後の展望について徹底解説