ITを駆使して、特定の企業や組織を数カ月から数年にわたり執拗に狙う「APT(Advanced Persistent Threat)攻撃」は、従来のセキュリティ対策では防ぎきれない。そこで米国が今、国を挙げて取り組んでいるのが「アクティブディフェンス(能動的な防衛)」。攻撃が本格化する前に兆候をつかみ、素早く対策を考案することで、ほぼリアルタイムの防御を目指す。
アクティブディフェンスを実現するためには、組織内ネットワークの状況をリアルタイムに監視する「コンティニュアスモニタリング(常時監視)」の仕組みが欠かせない。パソコン(PC)のセキュリティパッチの状況はもちろん、組織内ネットワークを流れるパケットの中身に至るまで監視できる製品を導入。得られた情報を的確に分析し、素早く対策を考案する専門部隊を社内に置くのだ。
さらに、その対策をできるだけ短時間で組織全体に適用し、情報漏洩などの実害を防ぐ体制づくりも不可欠である。それには、CIO(最高情報責任者)/CISO(最高情報セキュリティ責任者)を頂点とした危機管理の仕組み、訓練が欠かせない。APT攻撃をはじめ、さまざまなサイバー攻撃に長年悩まされ続けてきた米国では、米国土安全保障省(DHS)がサイバー攻撃に備えた演習を官民で実施、組織の対応力を鍛えている。
政府機関と重要インフラ企業などが合同訓練
「A企業の○○○が攻撃を受けた」「○○○のネットワークを外部から遮断しろ」。2010年10月、米国の国土安全保障省はワシントンD.C.のとある施設で、米国へのサイバー攻撃に備えた演習「サイバーストーム3」を実施した。国防総省、連邦捜査局(FBI)など政府機関のほか、電力会社や銀行、データセンターなど重要インフラ企業、セキュリティ対策企業が参加した。
国土安全保障省は「サイバーストーム」を2年ごとに開催、今回で3回目となる。実施の目的は、各組織のセキュリティ担当者がサイバー攻撃に適切に対処し、協調して事に当たれるかどうかを検証し、訓練することである。120人ほどの参加者が国土安全保障省のあるオフィスに集結。事前に練られたシナリオに沿って、3日にわたって演習を行った。
「電力網の制御システムが乗っ取られ、停電が起きた」「銀行のシステムがハックされ、引き落としができない」など、シナリオに沿って状況は刻々と変化する。その変化に即応し、適切な人物に適切な指示が出せるか、指揮系統に混乱はないか、といった対応力、反応の素早さが求められる。
