コラム第743号:「外国の国家サイバーセキュリティ機関とのやり取りで感じた『最近のインシデント報告のあり方』」

第743号コラム:名和 利男 理事(サイバーディフェンス研究所 専務理事/上級分析官)

題:外国の国家サイバーセキュリティ機関とのやり取りで感じた最近のインシデント報告のあり方』」

 筆者は、複数の国や地域のパートナー企業と連携しながら、インシデント対応やフォレンジック調査の支援などを行っている。クリティカルな案件を優先しているため、複数の国や地域を跨いだインシデントへの支援をすることが比較的多い。その中で、外国の国家サイバーセキュリティ機関への報告やその後のやり取りを行っているが、日本国内の状況と比較して強く感じることが何度もあった。

 そこで、本コラムで、外国の国家サイバーセキュリティ国家機関(以下、当該機関)とのやり取りで感じたことについて、読者の皆様と共有させていただきたいと思う。

 まず、国や地域によって大きなばらつきはあるが、当該機関とのインシデント報告に係るやり取りにおいて、彼らの「ミッション」を強く感じることが多い。そのミッションは明確にされており、ネット上で公開されている。例えば、英国NCSCでは、報告されたインシデントマネジメントのミッションとして、「サイバーインシデントの被害者にもたらされる損害を軽減し、これらのインシデントに関する理解を利用してガイダンスを伝え、将来の攻撃を阻止することを追求する」ことを掲げている。彼らにクリティカルなインシデント報告をすると、その言葉通り、的確かつ充実したガイダンスの提供を受けることができる。また、どのような質問や懸念についても、ストレスない時間で返信がされ、やり取りを続けていくと、将来の攻撃を阻止するという文脈の内容が度々表れる。ただし、クリティカルとは言えないインシデントの報告に対しては、提供される支援等が限定的になることから、何かしらのトリアージ(重要で最初に扱うべき者を選別すること)が働いているものと思われる。

 次に感じられることとして、当該機関の内部に、非常に豊富な知識やノウハウが蓄積され、迅速な情報の共有(流通)が実現している様子が見られることである。他国では、報告したインシデントと類似または共通している可能性のある他のインシデントの分析結果が迅速に提供されることがある。当該機関によるものであるため信頼性はあるとみなしているが、筆者は念の為にOSINT手法により情報の真正性の確認を行ったり、さらなる関連情報の取得を試みたりしている。関連情報が見つかるときは、相当な労力をかけてようやく見つける、ということがほとんどである。つまり、当該機関が提供される分析結果がなければ、自力でそれを取得することは困難であり、時間をおいてやり取りをすると、彼らの内部にある情報の集約と展開が日々進展している印象を受ける。ちなみに、こちらで努力して見つけた関連情報を任意で当該機関に提供して、稀に喜んでいただけることがある。彼らとの一体感や相互信頼が高まることを感じるときである。

 最後の一つとして挙げるべきことは、インシデント報告の窓口が、国家レベルで一元化されており、報告にかかるファインダビリティ(報告窓口の見つけやすさ)、アクセシビリティ(報告窓口へのアクセスしやすさ)、ユーザビリティ(報告手段の使いやすさ)の改善が持続的に行われているところから、当該機関は報告者に寄り添った努力をしていると感じられることである。当該機関は、企業や国民に対して規定やガイドライン等の整備によるインシデント報告を求める一方、その報告のしやすさを重視してその努力を積み重ねる姿勢は、上述の「ミッション」を遂行しようとする強い意思が組織全体に浸透していると見ることができる。

 以上、3点ほどの感じたことを共有させていただいた。また、今回はあえて日本国内の状況との具体的な比較を避けた。日本の行政機関と民間企業の間には、依然として「外的管理(ルール志向)」が強く、規定やガイドラインに基づくインシデント報告を淡々と行っている状況が見られる。しかし、国全体として、その報告の先にあるべきミッションが弱く(あるいは広く分散し)、それに基づく行動姿勢にも一貫性が見られない。国家レベルのサイバー防衛を先行する外国と比較すると、かなりの数の改善すべきところを挙げることができるが、その改善を可能とする環境や仕組みが脆弱であり、ほとんどのケースで行政機関の構造的な問題に帰着する。これまで多くの行政事務従事者や企業幹部が真摯な姿勢で努力を重ねてきたが、その限界を遥かに超えた、改善しようにも出来ないジレンマに陥っている。

 ここ数年、サイバー攻撃により、国内の重要インフラや社会生活の必須リソースの一部において深刻な被害が相次いで発生しており、結果的または事実上の犠牲となる社会的弱者が増えている。国家レベルの自然災害対策では、これまで多くの犠牲が出るたびに、改善を可能とする環境や仕組みが徐々に整備されてきた。一方、サイバー攻撃対策は、その整備において「成熟度レベルを高めるための持続的な努力」が必要なため、長い期間を要する。単に人やシステムを増やせば能力を獲得できるものではない。必要なのは、それを加速させるための強い意志(ミッション)とそれを具現化する強力なリーダーシップであると考える。これが、筆者が他国の国家サイバーセキュリティ機関へのインシデント報告に係るやり取りでもっとも強く感じたことである。

【著作権は、名和氏に属します】