第30回 日本の終戦までの最後の1年間とサイバーセキュリティの現状の共通点：日本型セキュリティの現実と理想（2/4 ページ）

[武田一城，ITmedia]

サイバーセキュリティにおける“絶対国防圏”

　ここで現在のサイバーセキュリティに話を戻そう。実は、サイバーセキュリティの世界でも長年にわたって“絶対国防圏”のような「境界防御」が主流だった。それに変化をもたらしたのは、この連載で何度か記した2011年の標的型攻撃事件だ。これによって、危険な組織の外部の世界と安全な内部の世界を区切り、外部の攻撃者が内部に侵入できないようにする「境界防御」の対策だけでは、セキュリティを保つことができないと認識されるようになった。

　この現況は、先に述べた1944〜45年頃の日本が置かれた当時の状況に似ている。外部の攻撃者が内部へ自由に入れるような状況だ。かつての日本が“絶対国防圏”を守れなかったように、広範囲のエリア全てを防御し続けることは、現在のサイバーセキュリティでも難しい。

　かといって、日本が敗戦までにたどったような袋叩きの状況を甘んじて受け入れるわけにはいかない。内部に入られても防御できるような仕組みを作らねばならないのだ。幸いなことに、サイバー空間での攻撃はそのほとんどが（まだ）人命に直結するものではない。価値のある情報や金銭の情報（インターネットでアクセスできる銀行口座やクレジットカード番号など）を狙うものが大半であり、その情報が持ち出されなければ被害はない。戦時下ならB29が日本上空に到達するだけで爆弾を投下できないで通過することと同様だ。

内部侵入を許した後のセキュリティ対策をどうするか？

　サイバーセキュリティにおいて、内部に侵入されても被害がないようにするための仕組みが、「SIEM」（Security Information and Event Management）に代表されるものだ。その仕組みによってセキュリティが保持されているかを可視化し、攻撃を検知して都度つぶすようなマネジメントを行う。なお、ここでいうマネジメントは、ITシステムが正常動作するためのシステムマネジメントと本質的には同じだが、よりセキュリティに特化した専門的な技術者が対応しなければならない「セキュリティマネジメント」のことである。

　この仕組みが機能すれば、攻撃をその途中で一定レベルまでは撃退することができる。爆撃に例えるならば、上空から落ちてくる爆弾を落下の途中で回収してしまうような感じだろう。すべてを撃退するとなると話は難しくなるが、ある程度のセキュリティ設計ができているシステムであれば、攻撃はいくつかの段階を経なければならず、そのいくつかが着弾してもそれが即座に最悪の事態（重要な機密を盗まれる）になることは避けられる。

　そんな“都合のよい仕組み”が本当にできるかは、セキュリティの専門家の間でも意見が分かれるかもしれない。だが、少なくとも次世代型ファイアウォールやサンドボックス、ログ解析ツールなどの組み合わせによってある程度は実現できるはずだ。しかも、その“都合のよい仕組み”に近いものも、実は既に存在している。それは、情報通信研究機構（NICT）が開発を進める「NIRVANA改」などを利用した、攻撃の可視化と封じ込めの仕組みである。

NICTの「NIRVANA改」（出典：NICT）

　筆者は2016年のInterop（ネットワーク関連技術の展示会）で、「NIRVANA改」の開発者であり、NICTのサイバーセキュリティ研究室長を務める井上大介氏のデモンストレーションを拝見した。この攻撃を検知してから封じ込めるまでの一連のプロセスは、まるで魔法のようだった。

　その中でも大きな感銘を受けたのが、マルウェア感染箇所を特定して、その範囲の大小に応じてネットワークから次々に切り離す仕組みと、そのオペレーションだった。この機能が一般に普及すれば、魔法のような防御が現実になるはずだ。