ESET社は、NATOサイバー防衛協力センター主催の国際的サイバー防衛演習「Locked Shields 2024」に60名以上の専門家を派遣。ESET社のセキュリティソリューションを用いて、サイバー攻撃を防衛する演習にて、参加チームで総合4位を獲得しました。
本記事はESET Japanが提供する「ESETブログ」に掲載された「国際的なサイバー防衛演習Locked Shields 2024:現在の複雑なサイバー戦争にも有効な古代ローマの軍略」を再編集したものです。
現在のサイバー戦争の軍事シミュレーションで専門知識を共有するために、民間のサイバーセキュリティ企業が招集されるのは合理的と言えるでしょう。
サイバーセキュリティの分野に精通しているESET社のような企業は民間組織であり、サイバー戦争のシナリオについては訓練していませんが、実環境で日々発生しているサイバーインシデントに対応しています。これらのインシデントでは、マルウェアの研究者、脅威監視の専門家、製品の研究開発チームが連携し、顧客のITセキュリティ機能の設定やテストを行い、脅威を監視して抑止できるように支援しています。セキュリティ対策で優れた成果を収めるためには、防御側の組織は「ファランクス」のようなアプローチを習得し、すべてのオンラインユーザーを保護しなければなりません。
ファランクスとは、古代ローマの重装歩兵が隊列を構成し、盾を重なり合わせて堅固な防御を可能にする密集陣形であり、NATOサイバー防衛協力センター(CCDCOE)が毎年開催しているサイバー防衛演習「Locked Shields(ロックド・シールズ)」のアイコンにもなっています。このファランクスは、過去のアナログの時代から現在のデジタル環境をつなぐ象徴ですが、トロイの木馬などのそのほかの古代の戦法も現在のサイバー戦でも通用しています。
防衛軍の戦力と装備
2024年4月24日から25日にかけて、60名以上のESET社のシステムエンジニア、セキュリティ監視の専門家、マルウェア研究者、アナリスト、コミュニケーションの専門家は、スロバキア・ハンガリー合同チームの一員としてその他民間企業のセキュリティ担当者とともに組織化され、大規模なサイバー攻撃から防衛するための演習を行いました。国家の機能を停止させて国民を扇動することを目的に仕掛けられた大規模なサイバー攻撃から、架空の国家「ベリリア」の重要インフラを守るために官民一体となり協力しました。
今年のLocked Shieldsは「Cooperation Is Our Protection(協力こそが保護)」というテーマで開催され、ESET社が参加したスロバキア・ハンガリーチームは、スキル、経験、ツールセットを駆使して、18チーム中4位に入賞しました。今回の演習には、40カ国から集まった4,000名以上が参加し、過去最大のLocked Shieldsイベントとなりました。
ESET社は、サイバー防衛軍に参加する専門家を派遣し、プロフェッショナルとしての豊富な知識と経験を提供するともに、以下のESETセキュリティソリューションをこのサイバー戦場における戦闘シミュレーションで活用しました。
- ESET PROTECT:AIを活用した包括的な多層防御を実現するセキュリティプラットフォーム。世界中の脅威に関する情報を収集するクラウドレピュテーションシステムのESET LiveGridと、未知の脅威やゼロデイの脅威に対する機能LiveGuard Advancedも使用され、ESET PROTECTは最も強力な製品構成で展開されました
- ESET Inspect: ESET社のXDRであり、ESET PROTECTプラットフォームにおける検知と対応モジュール
- ESET脅威インテリジェンス(ETI):世界中から収集された実用的なテレメトリ(監視データ)と脅威データは、ESET社の研究者、脅威ハンター、エンジニアが戦いを優位に進めるため、そして、シミュレーションのレッドチーム(攻撃側のチーム)の戦術、手法、手順(TTP)を把握して対応するために役立ちました
防御を固める
「ベリリア」チームには、敵対者による攻撃が始まる前に、サイバー戦場を探索し、ツールを調整する時間が与えられました。この時間を利用して、以下のプロセスが実行されました。
- ESET社のエンドポイントセキュリティソリューション、ESET Inspectエージェント、そのほかのセキュリティエージェントを、極めて迅速にミスなく展開しました
- ベリリアチームが電力網、ガス輸送システム、防空システム、衛星、5G、および状況認識システムなどを管理するための専門的なITシステムを設定するトリアージ(優先順位付け)を作成しました
- ベリリアのネットワークに合わせてESET Inspectの検出機能を調整することでノイズを減らし、脅威の監視と修復の能力をこの戦争で最も必要とされる場所に割り当てることができるようになりました
この模擬戦争では、衛星画像と懸念される領域の2つのマップが使用されました。これらの「懸念される領域」は、軍、政府機関、エネルギーインフラ、中立的な団体に関連するITエコシステムの集合体であり、サイバー戦争が発生した国家の最重要な標的を示しています。
コミュニケーションの促進と国際法の遵守
この演習には、セキュリティベンダーの日常的な業務にも大いに関連する要素が含まれていました。例えば報告書の作成です。ESET社などのベンダーは、防衛側がサイバー脅威の状況やすべての防御能力の状況を把握するためのSITREP(状況報告書)や、証拠に基づいて新たな脅威の分析結果を提供するCTIREPなどの報告書の作成を任務とするコミュニケーションの専門家を派遣しました。
同時に、法務チームは、ベリリアおよび国境を越えた同盟国のインフラ事業者間の協定を管理し、電力を共有し、防衛作戦が国際法を遵守していることを保証するための助言を行いました。
ESET社自身と自社ツールについて学んだこと
ESET社が参加した防御チームは、ファイアウォールに対するネットワーク攻撃や、防空、ガス輸送、電力網などのシステムに対するすべての攻撃から防御することに成功しました。加えて、事前に仕込まれた既知のバックドアと新しい独自のほぼすべてのバックドアをすばやく特定し、レッドチームによるこれらの攻撃手法の使用を著しく制限しました。残念なことに、サンダーストームのシミュレーションでは電力網がダウンしました。
しかし、準備を怠らなかった者に幸運の女神が微笑みました。ESET社のコミュニケーションチーム、法務チーム、電力網のオペレーターは、いくつものブルーチームとのチームワークを発揮し、協同作戦を遂行して、この影響を軽減できました。これは、現在のハイブリッド戦争においても、ファランクス戦略が有効であることを証明することになりました。以下の2つの方法で、友好関係にあるチームと協力しました。
- 最初に、迅速なコミュニケーション、法的な分析、近隣の電力供給会社との合意により、電力供給を復旧しました
- 次に、ESET社が過去に経験した攻撃から得られた脅威情報を、これらの関係チームに継続的に提供しました
予防重視の戦略
この協調的な防御アプローチは、脅威情報共有プラットフォームであるMISPサーバーで共有されるIoCによって支えられています。すべてのブルーチームが脅威ハンティングのために、MISPサーバーに充実したデータを提供しました。
今回のサイバー戦のシミュレーションは、戦術を理解して攻撃の次の段階を予測する脅威アナリストや、サイバー防御機能を設定するエンジニアなど、関係したすべての技術者が集中して取り組むことができた体験になりました。Locked Shieldsでは、サイバー空間における最前線で脅威に対抗する作戦に精通したESET社の専門家が、通常の業務におけるサイバーセキュリティの制約を取り払い、要請があれば国や欧州の防衛機構の中で連携できることを証明できました。
Locked Shields 2024を振り返って
第15回目となった本大会は、「協力こそが保護」というスローガンの下で実施されました。ESET社はスロバキアとハンガリーの合同チームに防御のための能力を提供し、以下の分野でトップ3に選ばれました。
- サイバー脅威インテリジェンス
- クライアントサイドの保護
- フォレンジック
- 戦略的コミュニケーション
スロバキア・ハンガリーのような2カ国の合同チームで構成される18の参加チームの中で、ESET社が参加したチームは、総合4位を獲得しました。スロバキア・ハンガリーの合同チームは戦略的目標を見事に達成しましたが、この成果は専門知識や最先端のセキュリティテクノロジーだけによるものではなく、参加者のコミュニケーションと緊密な協力関係があったことが大きな要因でした。
多くの人は、ブルーチームに勝ち目は薄いと考えていたかもしれませんが、実力以上の力を発揮することができ、ESET社は自社と自社のセキュリティテクノロジーを限界までテストすることができました。ESET社は、Locked Shieldsを新しいアイデア、さらなる協力の経験、そしてESET社が30年以上にわたって進化する世の中のテクノロジーを保護することに成功してきた理由を実証するための最高の舞台だと考えています。