さらに、07年から10年にかけてイランの核施設攻撃に使用されたコンピュータウイルス「スタックスネット(Stuxnet)」を開発した世界で最も高度なハッキンググループといわれる「イクエーショングループ(The Equation Group)」とNSAが同一の集団ではないのかという疑惑がもたらされた。ロシアのセキュリティ企業「カスペルスキー」がイクエーショングループを継続的に監視していたのだが、公開されたツールのコード(プログラム)の中にシャドウ・ブローカーズがNSAから入手したとされる大手通信機器メーカーのファイアウォールに侵入可能なツールに見られるある特殊な数列が使用されていたからだ。「スタックスネット」にも4つものゼロディの脆弱性が利用されていたことや元NSA職員の証言からもNSAがゼロデイの脆弱性を秘匿している可能性が高いとされた。
欧州連合(EU)でもVEPと同様のGDDP(Government Disclosure Decision Process)と呼ばれている制度がある。先進国では、脆弱性の管理は国家の重要な資産であるとの認識の元、厳重な管理が行われている。
一方、日本での脆弱性の管理は、経済産業省の政策実施機関である情報処理推進機構(IPA)が取りまとめを行い「Japan Vulnerability Notes(JVN)」として公開を行っている。しかし、もとより脆弱性情報をサイバー攻撃やアクティブディフェンスに利用しようなどという法律の立て付けもなく、ひたすらサイバー空間の安全性を高めるための行為として行われているだけであるのはいうまでもない。
OSやセキュリティソフトの分野では日本は出遅れたと言わざるを得ない。IoTの分野では一日の長がある日本でも、VEPと同様の法整備が必要だろう。
日本も実践経験を
サイバー防衛隊が脆弱性情報に慣れ親しみ、実践を積むには、サイバー防衛隊が民間企業に対してハントフォワード作戦を行うことだろう。ハントフォワード作戦(HFO: Hunt Forward Operation )とは、米軍が行っているサイバー訓練である。
米軍は、ウクライナや同盟国に米サイバー軍(USCYBERCOM)と第16空軍(UA Air Forces Cyber)のサイバー防衛要員を派遣し、重要なインフラシステムの脆弱性を、あぶり出したり、その防御方法を教えている。ウクライナがサイバー攻撃による電源消失を引き起こしていないのは、ハントフォワード作戦の成果だとされている。
ハントフォワード作戦は、実環境で行われるため、サイバーレンジという仮想のインターネット環境で訓練を積んでいるサイバー防衛隊員には、仮想環境との違いを体感してもらえるはずだ。ハントフォワード作戦を遂行するには、金融機関や電力会社といった重要インフラを司る民間企業の協力が不可欠だが、不正アクセス禁止法などの法令を改正する必要がある。
法令改正は、重要インフラシステムの防衛のためとして例外規定を設けるだけで済むはずで、憲法9条や21条の改正よりもはるかに容易なはずだ。サイバー防衛隊が憲法や法律の縛りを受け、ハントフォワード作戦も行えないとしたら宝の持ち腐れだ。
企業や個人にとっては、新たな脆弱性情報を発見した場合は、速やかに当該製品提供社に連絡して、修正プログラムが一刻も早く配布されるのを待ち、修正することが肝要である。それがIT機器を使用するユーザーの務めだ。
▲「Wedge ONLINE」の新着記事などをお届けしています。
