「サイバー脅威ランドスケープ」とは――名和氏が訴える、その有効性と利用シーン：ITmedia Security Week 2023 冬

2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・ゼロトラストセキュリティ」ゾーンで、サイバーディフェンス研究所 専務理事 上級分析官としても活躍する名和利男氏が「組織を守るために必要なサイバー脅威ランドスケープの把握」と題して講演した。あまり耳慣れない「サイバー脅威ランドスケープ」とは何か。なぜ注目すべきなのか。本稿では、講演内容を要約する。

[宮田健，＠IT]

サイバー脅威を理解するための「ランドスケープ」とは

名和利男氏

　「サイバー脅威ランドスケープ」とは何か。それを企業、国家、そして技術者はどう捉えるべきか。

　そもそもランドスケープとは主に絵画のように、「視覚的なシーンを目で追う動きを強調したもの」と、文学の領域では語られている。映像や画像から得る印象は人それぞれだ。名和氏は東京、銀座のかつての写真と現在の写真を基に解説をする。風景が変化していることは共通意識だとしても、人によって電線の有無や、道路の様子、路面電車の有無など、着目する点は異なる。

　これは、さまざまな脅威レポートでも同様で、同じレポートでもセキュリティ専門家が見るものと、一般人の見え方は大きく異なる。本来伝わってほしいセキュリティ的な情景や、その深刻度を万人に、全て伝えることは難しい。

　サイバー脅威ランドスケープとは、個人、企業、特定の産業、ユーザーグループ、特定の時間枠内で影響を受け得る、潜在的なサイバーセキュリティの脅威全体を図版で表したものを指す。例えば、欧州ネットワーク情報セキュリティ機関（ENISA）は「Cybersecurity Threats Fast-Forward 2030」という資料を公開しており、いま組織にどのような脅威が迫っているのか、トップ10の脅威をまとめている。サイバー脅威ランドスケープの目的は、客観的にシステム、そして脅威を見ることで、何をすべきかを理解するためにある。

サイバー脅威ランドスケープとは（右側の2つの図版が例）（名和氏の講演資料から引用）

　「一目見て一覧性があることが分かると思う。サイバー脅威ランドスケープは組織のデジタルセキュリティ姿勢を包括的に評価するためのものだ」（名和氏）

　日本ではどうだろうか。同様の狙いを持つ各種ガイドラインが、政府や業界団体から公開されている。名和氏はこれらガイドラインに関して「企業が同じような認識、同じような時間軸でデジタル空間を使っていることが前提になっている。全てが同じレベルならガイドラインの効果は高いが、デジタル技術の活用は、目的も在り方も個社で異なる。ガイドラインの効果は低下している」と指摘する。

　米国連邦航空局（FAA）が公開している資料「2019- 2023 FAA Cybersecurity R&D Plan」では、企業への攻撃に対してどう対応すればいいのかを、サイバーだけでなく物理を含めて解説しており、安全のための指標として「Cybersecurity Landscape」というキーワードが記載されている。

　「物事を決める上で、またはリスク管理の上でサイバー脅威ランドスケープの重要性が増していることが、この絵（上記図版の右下）からもご理解いただけると思う」（名和氏）

「サイバー脅威ランドスケープ」の利用シーン

　攻撃者は最新技術で仕掛けてくるので、企業や組織も防御能力を上げ続ける必要がある。そのため、サイバー脅威ランドスケープは、絶えず動的に進化している。スナップショット的な考え方ではなく、継続的なプロセスを前提としているという。

　「相手が変われば、私たちも変わる。そのためには相手をきちんと見なければならない。『こうすればいい』『これで事足りる』という時代ははるか前に終わってしまった。だからこそ、サイバー脅威ランドスケープは継続的なプロセスを前提としている。その狙いは、サイバー脅威に対する予防的な防御を可能にし、サイバーインシデントのリスクと影響を最小限に抑えること。組織が直面する可能性のあるサイバー脅威を包括的に把握する上で不可欠な要素だ」（名和氏）

　名和氏はサイバー脅威ランドスケープが利用できるシーンとして、下記の項目を挙げた。

• セキュリティ戦略の開発（策定）
• 脅威インテリジェンス
• セキュリティ運用
• 政策立案
• 意識向上と教育
• リソース配分
• リスク管理
• インシデント対応計画

　特に「セキュリティ戦略の開発」について名和氏は、「サイバー脅威が正しく認知されないまま戦略が作られると、役に立たないもの、部分的にしか有効ではないものになってしまう」と指摘する。

　「意識向上と教育」においては、「こうしなさい」「ああしなさい」「するべからず」といった押しつけ的なものではなく、「個々の従業員に、自発的に動いてもらう要素が増える。現状を理解してもらい、必要最低限プラスαで動いてもらうためにはサイバー脅威ランドスケープを活用するのが有効だ」（名和氏）とした。

2023年のサイバー脅威ランドスケープ

　続いて名和氏は、サイバー脅威ランドスケープの例として、2023年時点における重要なトピックを5つ提示する。

2023年の企業向けサイバー脅威ランドスケープ（名和氏の講演資料から引用）

　「生成AIの影響」に関して名和氏は、2023年8月9日に発表された国防高等研究事業局（DARPA）による「DARPA AI Cyber Challenge」を取り上げる。このチャレンジが“突然”発表された背景について名和氏は「生成AIに起因する事案が増えているにもかかわらず、必要な情報が限られていることで、サイバー犯罪者、攻撃者を監視しても対抗措置が間に合わないことがある」と指摘する。

　生成AIが攻撃者に“活用”されていたとしても、その活用状況は表に出てくることはなく、被害が出てくるだけという状況を打破するために、28億円もの費用をかけて、米国はこのチャレンジを開催する。最終目標は、重要なソフトウェアを大規模で自動的に防御することにある。

生成AIのサイバーセキュリティへの影響を反映している「DARPA AI Cyber Challenge」（名和氏の講演資料から引用）

　「サイバー犯罪の経済規模拡大」については「平成23年度 警察白書」の「第1節　サイバー犯罪の現状」を引用し、サイバー犯罪は年々深刻さを増していることが理解できるという。

　「サイバー攻撃の洗練化」については、名和氏は「ここではもはや“高度化”“巧妙化”というキーワードではない」ことを強調する。それに代わって使われるのは“洗練化”だ。攻撃者はより速く、より複雑な攻撃手法を使用し、これまでの対策では検知できない。そのため、対策の方針として「回復力」の重要性が増している。

　加えて、先述したENISAの「Cybersecurity Threats Fast-Forward 2030」について、事務局長、ユハン・レバッサール氏の発言を基に、名和氏は次のように強調した。

　「レバッサール氏は『予防は治療より優れている』と述べている。そしてもう一つ、『可能な限りあらゆる措置を事前に講じる責任がある』とも述べている。サイバー脅威を抑えることが不可能となっているなら、それを『早期に理解し、対策立案し、実装し、守るための仕組みを作るべし』としている。危機感が非常に高いレポートだ」

　「新たな脅威の出現」については、「Cybersecurity Incident & Vulnerability Response Playbooks」を基に、「アクティブディフェンス」の重要性を説いた。

「アクティブディフェンス」とは（名和氏の講演資料から引用）

　「地政学的要因の影響増大」については、2023年8月18日に発表された「キャンプデービッドの精神」を引用。現状を把握するための資料として活用できるという。

「キャンプデービッドの精神」など、現状を把握するための資料がたくさん用意されている（名和氏の講演資料から引用）

　この他にも、国家背景のサイバー脅威のランドスケープを把握するには、米国国家情報長官室（ODNI）の年次報告書も活用できる。名和氏はODNIをロシア、中国、北朝鮮などの状況把握に役立つ資料として紹介しつつ、その他の資料もリストで紹介した。

国家機関におけるサイバー脅威ランドスケープを把握するための資料群（名和氏の講演資料から引用）

　加えて、技術者向けのサイバー脅威ランドスケープとして名和氏は、自身が活用しているアイデア整理ツール「Obsidian」に、markdownで公開されている情報をインポートして解析する方法を紹介する。例えば、2023年夏時点で把握されていた脅威アクターの技術を、MITREのフレームワークに整備したもの「6r3g/ATTACKmd：Mitre ATT&CK framework tactics and techniques in markdown format for best use in Obsidian」が公開されている。

名和氏がObsidianでまとめた、サイバー攻撃者の技術の注目度合い（名和氏の講演資料から引用）

　それら技術のリンクを見たところ、攻撃者の目的志向で最も大きいのが「ディフェンスイベージョン」。つまり、検知を回避する技術が注目されていることが分かった。「5年前、1年前を比較しても極端なまでにリンケージが増えている。さまざまなアーカイブサイトから情報を引っ張ってくれば、自分でこういった絵を作ることもできる」（名和氏）

　名和氏は最後に、次のように話して講演を締めくくった。

　「伝えたいのは、情報共有の力。サイバー脅威ランドスケープが、特に意思決定層上位層、あるいは横展開でいえば委託先サプライチェーンの各社、そして株主に必要だ。各プレイヤーが予算配分やリソース配分のために、今の状況を理解するために、サイバー脅威ランドスケープという手法は非常に重要だ。それこそが、情報共有の力となる」

増加する脅威に「情報共有の力」を。その現状理解のためにサイバー脅威ランドスケープを活用せよ（名和氏の講演資料から引用）