« 英国 会計検査院 オンライン安全規制への備え (2023.07.12) | Main | 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定 »

2023.07.17

英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

こんにちは、丸山満彦です。

英国のNCSCが、アクティブ・サイバーディフェンスについて6年目の報告書が公表されていますので、紹介です。。。

2017年以降、毎年公表されています。。。

ところで、日本でもActive Cyber Defenceあるいは、Active Cyber Defenseについての議論がおこなわれるようになってきていますね。しかし、ハックバックのことをアクティブ・サイバーディフェンスとしていることが多いように思います。英語の本場の英国でも、米国でも、Active Cyber DefenceまたはActive Cyber Defenseは文字通り防御であり攻撃ではないというのが、NCSC、DoDの考え方のように思います。。。

もちろん、日本でのアクティブ・サイバーディフェンスをハックバックとして定義してもよいのでしょうが。。。英語で英国、米国と議論するときにやりづらいかもしれませんね。。。ハックバックについては、サイバー反撃とかにしたほうがよいかもですね。。。

 

NCSC - Guidance & resources

・2023.07.06 ACD - The Sixth Year

 

報告書

・[PDF] ACD The Sixth Year - full report

20230717-51139

・[DOCX] 仮訳

 

目次...

Foreword 序文
Takedown テイクダウン
Suspicious Email Reporting Service 不審メール報告サービス
Mail Check メールチェック
Vulnerability Checking 脆弱性チェック
Protective DNS 保護DNS
Exercise in a Box エクササイズ・イン・ア・ボックス
Early Warning 早期警告
MyNCSC MyNCSC
Routing and Signalling ルーティングとシグナリング
Host Based Capability ホスト・ベースの能力
Vulnerability Reporting and Disclosure 脆弱性の報告と開示
Logging Made Easy 簡単にロギング
Cyber Threat Intelligence Adaptor サイバー脅威インテリジェンス・アダプター
Conclusion/forward look 結論/展望

 

 

主要発見事項の要約...

・[PDF] ACD The Sixth Year - summary of key findings

20230717-55811

 

 

ブログ記事

・2023.07.06 Active Cyber Defence: Sixth annual report now available

 

 

アクティブ・サイバーディフェンスについての情報は、、、

Active Cyber Defence

Introdcution

Services

Sign in or register

Guidance & resources

Contact Us

 

 

 


 

ちなみに、DoDのActive Cyber Defenseの定義は、2011年のサイバー空間の作戦のための国防総省の戦略 Department of Defense Strategy for Operating in Cyberspace で述べられています。

 

・2011.07 [PDF] Department of Defense Strategy for Operating in Cyberspace

20230717-61243



P7にありまして...

As malicious cyber activity continues to grow, DoD has employed active cyber defense to prevent intrusions and defeat adversary activities on DoD networks and systems. Active cyber defense is DoD’s synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities. It builds on traditional approaches to defending DoD networks and systems, supplementing best practices with new operating concepts. It operates at network speed by using sensors, software, and intelligence to detect and stop malicious activity before it can affect DoD networks and systems. As intrusions may not always be stopped at the network boundary, DoD will continue to operate and improve upon its advanced sensors to detect, discover, map, and mitigate malicious activity on DoD networks. 悪質なサイバー活動が増え続ける中、国防総省は国防総省のネットワークやシステムに対する侵入を防ぎ、敵の活動を打ち負かすために積極的なサイバー防衛を採用してきた。積極的なサイバー防衛とは、脅威と脆弱性を発見、検知、分析、低減するための国防総省の同期化されたリアルタイム能力である。これは、国防総省のネットワークとシステムを防衛するための従来のアプローチを基礎とし、新しい運用コンセプトでベストプラクティスを補うものである。国防総省のネットワークやシステムに影響を与える前に、センサー、ソフトウェア、インテリジェンスを使って悪意のある活動を検知し、阻止することで、ネットワークスピードで運用される。国防総省は、国防総省ネットワーク上の悪意ある活動を検知、発見、マッピング、緩和するための高度なセンサーの運用と改善を継続する。

 

 

こちらも参考に...

JPCERT/CC - JPCERT/CC-Eyes

・2022.09.21 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点につい by 佐々木 勇人

 

 


 

 過去の報告。。。

 

● NCSC

・2022.05.22 ACD - The Fifth Year

・[PDF] ACD The Fifth Year - full report

20230717-100104

・[PDF] ACD The Fifth Year - summary of key findings

20230717-100207

 

・2021.05.10 Active Cyber Defence (ACD) - the fourth year

・[PDF] Active Cyber Defence (ACD) - the 4th year

20230717-101122

 

・2021.02.19 Active Cyber Defence (ACD) - The Third Year

・[PDF] Active Cyber Defence - the third year

20230717-101606

 

・2019.07.16 Active Cyber Defence (ACD) - The Second Year

・[PDF] Active Cyber Defence - The Second Year

20230717-102040

 

 

1年目 国立図書館のアーカイブ...

・2018.02.05 Active Cyber Defence - one year on

・[PDF] Active Cyber Defence - One Year On

20230717-103529

 

2016年のNCSCのアクティブサイバーディフェンスについてのブログ記事...

・2016.11.01 Active Cyber Defence - tackling cyber attacks on the UK

 

1_20230717104001


 

 

英国でのACDの定義的なのは、2016年−2021年の国家サイバーセキュリティ戦略に記載があります。。。

・2016.11.01 National Cyber Security Strategy 2016 to 2021

・[PDF] National Cyber Security Strategy 2016 to 2021

20230717-134604

 

5.1. ACTIVE CYBER DEFENCE  5.1. アクティブ・サイバーディフェンス 
5.1.1. Active Cyber Defence (ACD) is the principle of implementing security measures to strengthen a network or system to make it more robust against attack. In a commercial context, Active Cyber Defence normally refers to cyber security analysts developing an understanding of the threats to their networks, and then devising and implementing measures to proactively combat, or defend, against those threats. In the context of this strategy, the Government has chosen to apply the same principle on a larger scale: the Government will use its unique expertise, capabilities and influence to bring about a step-change in national cyber security to respond to cyber threats. The ‘network’ we are attempting to defend is the entire UK cyberspace. The activities proposed represent a defensive action plan, drawing on the expertise of NCSC as the National Technical Authority to respond to cyber threats to the UK at a macro level. 5.1.1. アクティブ・サイバーディフェンス(ACD)とは、ネットワークやシステムを強化するためのセキュリティ対策を実施し、攻撃に対してより堅牢にするという原則である。商業的な文脈では、アクティブ・サイバーディフェンスとは通常、サイバーセキュリティ・アナリス トがネットワークに対する脅威について理解を深め、それらの脅威と積極的に戦う、あるいは防御す るための対策を考案し、実施することを指す。この戦略の文脈において、政府は同じ原則をより大規模に適用することを選択した。政府は、サイバー脅威に対応するために、独自の専門知識、能力、影響力を用いて、国家サイバーセキュリティに一歩進んだ変化をもたらす。我々が守ろうとしている「ネットワーク」とは、英国のサイバースペース全体のことである。提案されている活動は、国家技術機関としてのNCSCの専門知識を活用し、マクロレベルで英国へのサイバー脅威に対応するための防衛行動計画である。
Objectives  目的 
5.1.2. In undertaking ACD, the Government aims to: 5.1.2. ACD を実施するにあたり、政府は以下を目的としている:
• make the UK a much harder target for state sponsored actors and cyber criminals by increasing the resilience of UK networks;  ・英国ネットワークのレジリエンスを向上させることにより、英国を国家支援行為者やサイバー犯罪者にとってより困難な標的にする; 
• defeat the vast majority of highvolume/low-sophistication malware activity on UK networks by blocking malware communications between hackers and their victims;  ・ハッカーと被害者の間のマルウェア・コミュニケーションを遮断することにより、英国のネットワー クにおける大量かつ低精巧なマルウェア活動の大部分を阻止する; 
• evolve and increase the scope and scale of Government’s capabilities to disrupt serious state sponsored and cyber criminal threats;  ・深刻な国家による脅威やサイバー犯罪の脅威を混乱させるための政府の能力を進化させ、その範囲と規模を拡大する; 
• secure our internet and telecommunications traffic from hijacking by malicious actors; ・インターネットと通信トラフィックを悪意ある者によるハイジャックから守る;
• harden the UK’s critical infrastructure and citizen-facing services against cyber threats; and  ・英国の重要インフラと市民向けサービスをサイバー脅威から守る。
• disrupt the business model of attackers of every type, to demotivate them and to reduce the harm that their attacks can cause. ・あらゆるタイプの攻撃者のビジネスモデルを破壊し、攻撃者のやる気を失わせ、攻撃が引き起こす被害を減らす。
Approach アプローチ
 5.1.3. In pursuit of these aims, the Government will:   5.1.3. これらの目的を達成するため、政府は以下を行う: 
• work with industry, especially Communications Service Providers (CSPs), to make it significantly harder to attack UK internet services and users, and greatly reduce the prospect of attacks having a sustained impact on the UK. This will include tackling phishing, blocking malicious domains and IP addresses, and other steps to disrupt malware attacks. It will also include measures to secure the UK’s telecommunications and internet routing infrastructure;  ・産業界、特にコミュニケーション・サービス・プロバイダ(CSP)と協力し、英国のイ ンターネット・サービスとユーザーを攻撃することを大幅に困難にし、英国に持続的な 影響を与える攻撃の可能性を大幅に低減する。これには、フィッシングへの取り組み、悪意のあるドメインやIPアドレスのブロック、マルウェア攻撃を妨害するためのその他の措置が含まれる。また、英国の電気通信およびインターネット・ルーティング・インフラを保護するための対策も含まれる; 
• increase the scale and development of GCHQ, Ministry of Defence and NCA capabilities to disrupt the most serious cyber threats to the UK, including campaigns by sophisticated cyber criminals and hostile foreign actors; and  ・高度なサイバー犯罪者や敵対的な外国脅威行為者によるキャンペーンを含む、英国にとって最も深刻なサイバー脅威を混乱させるために、GCHQ、国防省、NCAの能力を拡大・発展させる。
• better protect government systems and networks, help industry build greater security into the CNI supply chain, make the software ecosystem in the UK more secure, and provide automated protections for government online services to the citizen. ・政府のシステムとネットワークをよりよく保護し、産業界が CNI のサプライチェーンにより高いセキュリティを構築するのを支援し、英国のソフトウェア・エコシステムをより安全なものにし、政府のオンラインサービスの自動化された保護を市民に提供する。
5.1.4. Where possible, these initiatives will be delivered with or through partnerships with industry. For many, industry will be designing and leading implementation, with the Government’s critical contribution being expert support, advice and thought-leadership.  5.1.4. これらの取り組みは、可能な限り、産業界とともに、または産業界とのパートナーシップを通じて実施される。多くの場合、産業界が設計し、実施を主導することになるが、ガバナンスの重要な貢献は、専門家による支援、助言、思想的リーダーシップである。
5.1.5. The Government will also undertake specific actions to implement these measures, which will include:  5.1.5. ガバナンスは、これらの措置を実施するための具体的な行動も実施する: 
• working with CSPs to block malware attacks. We will do this by restricting access to specific domains or web sites that are known sources of malware. This is known as Domain Name System (DNS) blocking / filtering;  ・マルウェア攻撃をブロックするために CSP と協力する。マルウェアの発信源として知られる特定のドメインやウェブサイトへのアクセスを制限する。これは、ドメインネームシステム(DNS)のブロッキング/フィルタリングとして知られている; 
• preventing phishing activity that relies on domain ‘spoofing’ (where an email appears to be from a specific sender, such as a bank or government department, but is actually fraudulent) by deploying an email verification system on government networks as standard and encouraging industry to do likewise;  ・政府ネットワークに電子メール検証システムを標準配備し、業界にも同様に配備するよう奨励することで、ドメインの「なりすまし」(銀行や政府機関など特定の送信者からの電子メールに見えるが、実際には詐欺メールである)に依存するフィッシング行為を防止する; 
• promoting security best practice through multi-stakeholder internet governance organisations such as the Internet Corporation for Assigned Names and Numbers (ICANN) which coordinates the domain name system), the Internet Engineering Task Force (IETF) and the European Regional Internet Registry (RIPE) and engagement with stakeholders in the UN Internet Governance Forum (IGF);  ・ドメインネームシステムを調整するICANN(Internet Corporation for Assigned Names and Numbers)、IETF(Internet Engineering Task Force)、RIPE(European Regional Internet Registry)などのマルチステークホルダー型のインターネットガバナンス組織や、国連のインターネットガバナンスフォーラム(IGF)における利害関係者との連携を通じて、セキュリティのベストプラクティスを推進する;) 
• working with law enforcement channels in order to protect UK citizens from being targeted in cyber attacks from unprotected infrastructure overseas; ・海外の無防備なインフラからのサイバー攻撃から英国市民を守るため、法執行ルートと協力する;
• working towards the implementation of controls to secure the routing of internet traffic for government departments to ensure that it cannot be illegitimately re-routed by malicious actors; and  ・政府省庁のインターネット・トラフィックを安全にルーティングし,悪意ある行為者によって不正に再ルーティングされないようにするためのコントロールの実施に取り組む。
• investing in programmes in the Ministry of Defence, the NCA and GCHQ that will enhance the capabilities of these organisations to respond to, and disrupt, serious state-sponsored and criminal cyber activity targeting UK networks.  ・国防省、NCA、GCHQにおけるプログラムに投資することで英国のネットワークを標的とした国家による深刻なサイバー活動や、犯罪的サイバー活動に対応し、混乱させるための組織の能力を強化する。
We will develop these technical interventions as threats evolve to ensure that UK citizens and businesses are protected by default from the majority of large-scale commodity cyber attacks. 我々は、脅威が進化するにつれてこれらの技術的介入を発展させ、英国市民と企業が大規模な商品サイバー攻撃の大半からデフォルトで保護されるようにする。
Measuring success  成功の測定
5.1.6. The Government will measure its success in establishing effective ACD by assessing progress towards the following outcomes: 5.1.6. 政府は、以下の成果に対する進捗状況を評価することにより、効果的な ACD の確立における成 功を測定する:
 • the UK is harder to ‘phish’, because we have large-scale defences against the use of malicious domains, more active anti-phishing protection at scale and it is much harder to use other forms of communication, such as ‘vishing’ and SMS spoofing, to conduct social engineering attacks;   ・英国では、悪意のあるドメインの使用に対する大規模な防御、より積極的な大規模フィッシン グ対策、およびソーシャル・エンジニアリング攻撃を行うための「ビッシング」や SMS スプーフィングな どの他のコミュニケーション形態の使用が非常に困難になっているため、「フィッシング」がより困難 になっている; 
• a far larger proportion of malware communications and technical artefacts associated with cyber attacks and exploitation are being blocked;  ・サイバー攻撃や悪用に関連するマルウェアのコミュニケーションや技術的な成果物が、はるかに多くの割合でブロックされている; 
• the UK’s internet and telecommunications traffic is significantly less vulnerable to rerouting by malicious actors;  ・英国のインターネットおよび通信トラフィックは、悪意ある行為者による経路変更に対する脆弱性が大幅に減少している; 
• GCHQ, the Armed Forces’ and NCA capabilities to respond to serious statesponsored and criminal threats have significantly increased. ・GCHQ、軍、NCAの深刻な国家的脅威や犯罪的脅威に対応する能力が大幅に向上した。

 

 

日本の場合

国家安全保障戦略に「能動的サイバー防御」(Active Cybeer Defense)として登場します。。。

・[PDF] 国家安全保障戦略」(令和4年12月16日 国家安全保障会議・閣議決定)

・[PDF] National Security Strategy(NSS) -English Version-

(i) Improving Response Capabilities in the Field of Cybersecurity  ア サイバー安全保障分野での対応能力の向上 
In order to ensure secure and stable use of cyberspace, especially the security of the nation and critical infrastructures, the response capabilities in the field of cybersecurity should be strengthened equal to or surpassing the level of leading Western countries.   サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。 
Specifically, in order to be able to respond to emerging cyber threats at any time, Japan will first establish a mechanism to continuously assess the information systems of government agencies, to improve measures against cyber threats as necessary, and to constantly manage vulnerabilities of government agencies’ information systems. As part of these efforts, the Government will continue to enhance defense throughout the lifecycle of information systems of government agencies, including those used in the fields of diplomacy, defense, and intelligence, from installation to disposal, while also promoting the development and effective use of human resources inside and outside the Government, by actively adopting cutting-edge concepts and technologies related to cybersecurity at all times.   具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。 
In addition, Japan will introduce active cyber defense for eliminating in advance the possibility of serious cyberattacks that may cause national security concerns to the Government and critical infrastructures and for preventing the spread of damage in case of such attacks, even if they do not amount to an armed attack. For this purpose, the Government will take further steps to develop information gathering and analysis capabilities in the field of cybersecurity and establish systems to implement active cyber defense. Therefore, the Government will advance efforts to consider to realize necessary measures including the following (a) to (c):  その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。  
(a)         Japan will advance efforts on information sharing to the Government in case of cyberattacks among the private sector including critical infrastructures, as well as coordinating and supporting incident response activities for the private sector.   (ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。 
(b)         Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.  (イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。 
(c)         For serious cyberattacks that pose security concerns against the Government, critical infrastructures, and others, the Government will be given the necessary authorities that allow it to penetrate and neutralize attacker's servers and others in advance to the extent possible.  (ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。 
In order to realize and promote these efforts, including active cyber defense, the National center for Incident readiness and Strategy for Cybersecurity (NISC) will be constructively restructured to establish a new organization which will comprehensively coordinate policies in the field of cybersecurity, in a centralized manner. Then, the Government will work on legislation and strengthen operations for the purpose of materializing these new efforts in the field of cybersecurity. These measures will contribute to the reinforcement of a comprehensive defense architecture.   能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。 
In addition, the Government will improve coordination with other policies that contribute to the enhancement of cybersecurity, such as economic security and the enhancement of technical capabilities related to national security.   また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。 
Furthermore, the Government will continue to work for the enhancement of information gathering and analysis, attribution and its public announcement, as well as formulation of international frameworks and rules in a coordinated manner with its ally, like-minded countries and others.  さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2022.07.04 英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)


|

« 英国 会計検査院 オンライン安全規制への備え (2023.07.12) | Main | 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 会計検査院 オンライン安全規制への備え (2023.07.12) | Main | 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定 »