google-site-verification=bsh9Vc0JE-gs5XhAa5d60ynarygvmIr38GwKW8JySfM

自衛隊調達巡り(207)サイバー警報役を自衛隊情報保全隊が。サイバー脅威情報統合サービス

アーカイブ
カテゴリー
広告
Loading...



入札日:令和4年9月28日
サイバー脅威情報統合サービス
陸上自衛隊中央会計隊 
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/
https://www.mod.go.jp/gsdf/dc/cfin/html/img/file332.pdf
 サイバー脅威情報統合サービスとは何かということになろうかと思う。仕様書には概要が記載されている。7つの機能を有し、ソフトウエアの更新を行うもののようだ。
 おそらく、サイバー脅威情報を収集するというのが主たる機能であり目的なのだろう。その手段としてキーワード(AND検索などで1個以上のキーワードの集まりをクエリという。一つ一つの単語がキーワード)で検索し、データベースに集約するらしい。それらを確実にするため、認証機能や通信機能や保全機能を持つということのようだ。
 サイバー脅威情報の収集についてはサイバー脅威情報サービスからデータフィードを自動的に収集するとある。データフィードとは、配信用フォーマットに変換して送信する仕組みを言うようだ。

 サイバー脅威情報サービスについては、役務の概要のところに、契約相手方が保有するものを利用するように記載されているので、配信サービスを利用するということだろうか。
 このデータフィードの自動収集機能には、脅威、評判、ツイッター、エクスプロイト、ニュース及び脆弱のトラッカーというものがあるらしい。これがハードウエアなのかソフトウエアなのかよくわからないのだが、トラッカーとはウィジェットとかビューと言われるものらしい。まあ語義からすれば追跡するものなのだろう。
 ウィジェットとは、検索すると、グラフィカルユーザインタフェース(GUI)のインタフェース部品(UIパーツ)の総称を言う名称と書いてある。要するに画像で操作できるインターフェースだ。テキストボックス(テキスト情報を入力する窓)やラジオボタン(選択させる丸い穴状のもの)などの操作可能な絵のことを言うらしい。おそらく部品として提供されているのだろう。ビューとは、空間をどのような視点から眺めて画面にデータなどを表示するかを言うらしい。単に見る角度だけではなく、データの並べ方なども含めるようだ。グラフにでもするのだろう。

 私の知識が足りずに検索結果の受け売りだが、様々な収集すべきものをウィジェットから操作したり閲覧する画面のようなものだと思われる。
 エクスプロイトとあるのは、セキュリティの脆弱性を攻撃するプログラムのことで、マルウエア(不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスワームなどが含まれる。)の一種のことを言うらしいのだが、そうなると別に当該仕様書には脆弱も並んでいる。脆弱の方はプログラムを除くものだろうか。何かわざわざ別建てする必要があるのだろうか。
 これらトラッカーとは別に、データ収集のためのクエリを設定できる機能としてハンターというのもあるようだ。どこかの国の大統領の息子の名前ではなく、ハンターとは、いくつかのサイバー脅威情報やTwitterから特定の情報を観測する機能だそうだ。

 クエリというのは、先に簡単に触れたが、もう少し詳しく説明すると、情報の検索や抽出を行うために、含まれるキーワードやフレーズ、探索対象や範囲、対象期間などを<組み合わせて>検索条件を書き記した文字列の事を言うそうである。平たく言えば検索条件だろう。
 合わせて仕様書には、
IPアドレス(インターネット上の番地)
ドメイン(IPアドレスを覚えやすい名前に変えたもの。)
URL(ドメインを、https://と下層ページのディレクトリで挟んだもの。)
ファイルのハッシュ(データを一定の法則(ハッシュ関数)で同じ長さに短縮した数値)
なども収集し、分析や可視化するようだ。ツイッターへ注釈を付けたり、データの検索もできるらしい。
 詳しいことは知らないのだが、Twitterには注釈をつけることができるようだ。下のが一例

トランプ大統領ツイートに初の“注釈” ツイッター社「誤解招く可能性」
https://mainichi.jp/articles/20200527/k00/00m/030/074000c

 仕様書を見る限り、当該サービスは、世の中のサイバー脅威をいち早く見つける為のもののようである。
 こういったものが世間にあるのか、探してみたところ国立研究開発法人情報通信研究機構NICTが「CURE」というものを開発している。

NICT、複数のセキュリティ情報を集約する基盤「CURE」を開発、データベース間の連携を近未来アニメ風に可視化
https://internet.watch.impress.co.jp/docs/news/1188848.html

 「NICTでは、インシデント分析センター「NICTER」、標的型攻撃を観測・分析するサイバー攻撃誘引基盤「STARDUST」サイバー攻撃統合分析プラットフォーム「NIRVANA改」脅威情報集約システム「EXIST」を開発している。CUREはこれらのデータベース群をつなげる中心的基盤となる。」という文言が見られる。
 また、民間の企業のものでは下の様なものがあった。今回の仕様書の中に同様の文言が見られることから、おそらくこれを調達することを意図したものかもしれない。名称については、サイバー脅威に対する外部情報集約システム(EXternal Information aggregation System against cyber Threat)の頭文字を並べたようだ。

サイバー脅威情報集約システム EXIST
https://blog.nicter.jp/2019/03/exist/
サイバー脅威情報集約システム EXIST を活用する ~Twitter …
https://soji256.hatenablog.jp/entry/2019/10/23/002347
サイバー脅威情報集約システム EXIST を構築する
https://soji256.hatenablog.jp/entry/2019/10/23/002216

 「EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報(IPアドレスやハッシュ値)の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。
MISP と連携可能なので、ここでは EXIST+MISP 環境を構築していきます。
なお、CentOS 7 に対して EXIST+MISP 環境を自動で導入できるスクリプトを github で公開しています。 手っ取り早く環境構築したい場合は以下からご利用ください。」

と記してある。
 なお、文中の用語の意味は以下のとおり。
VirusTotalファイルウェブサイトマルウェア検査を行うウェブサイト) Shodanインターネットに接続されている特定の種類のコンピューター類を検索できるようにする検索エンジン
API(外部アプリとコミュニケーションや連携ができる状態にする窓口機能)
MISPオープンソースのマルウェア情報共有プラットフォーム)
CentOS 7(Red Hat Enterprise Linuxレッドハット社製業務向けLinux)と機能的に互換性を有し、ソフトウェア群を1つにまとめ、利用者が容易にインストール・利用できるようにしたOSの7番目のタイプ)
スクリプト(簡易的なプログラム言語)
github(ソフトウェア開発プラットフォームの一つ。)

 ここまで見た通り、このシステムは、いち早く警報を発するというものだ。
この仕様書の作成部隊は防諜を任務とする自衛隊情報保全隊である。本調達は陸上自衛隊のものであるが、自衛隊情報保全隊は陸海空の自衛隊の共同部隊となっている。
 自衛隊情報保全隊の業務や任務は下の訓令に次のように定められている。

自衛隊情報保全隊に関する訓令(平成21年防衛省訓令第46号)
https://blog.canpan.info/kanshi/archive/7

(用語の意義)
第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 情報保全業務 秘密保全、隊員保全、組織・行動等の保全及び施設・装備品等の保全並びにこれらに関連する業務をいう。
(情報保全隊の任務)
第3条 情報保全隊は、陸上幕僚監部、陸上幕僚長の監督を受ける部隊及び機関並びに別に定めるところにより支援する施設等機関等の情報保全業務のために必要な資料及び情報の収集整理及び配布を行うことを任務とする。


 
つまり、ここで調達されるサイバー脅威情報統合サービスは保全活動の一環として用いられるわけである。」
 
同訓令の情報科の事務として、

「(情報科)
第10条 情報科においては、次の事務をつかさどる。
(1) 情報収集の計画に関すること。
(2) 資料及び情報の分析及び配布に関すること。


 とあるから、情報科の事務なのだろう。
 なお、ここで言う情報科は陸上自衛隊の職種の情報科のことではなく、自衛隊情報保全隊の内部組織の名称だ。
 因みにH30年度電話番号簿を見ると情報科から情報保全課に変化している。組織の拡充があったのだろうか。更に情報保全課の内部組織にIT班というのがあるが、サイバー脅威情報統合サービスを、この辺りが使うのだろう。横並びの情報計画班や分析班が班長も含めて電話が7~8台あるのに対し、3台だから規模は小さそうだ。
 自衛隊情報保全隊とサイバーとの係わりは、古くは、まだ前々身の調査隊であった時代の平成12年(2000年)ぐらいからありそうではある。それは下の文書に見られる。それまでの調査隊が前身の情報保全隊になった切っ掛けとなったものだ。

秘密保全体制の見直し・強化について(秘密保全等対策委員会報告書)平成12年10月27日 防衛庁
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/
https://dl.ndl.go.jp/view/download/digidepo_1283417_po_hozen.pdf?contentNo=1&alternativeNo=

 これには以下のような記述が随所にみられるものの、まだサイバーが前面に出てくるようなものではない。

1頁「はじめに・・・・ITの進展等秘密保全にも大きな影響を与える変化が生じていることから、秘密保全について万全の態勢を維持するためには、IT関連の全体の施策との整合を図りつつ、常に点検を怠ることなく進めていく必要がある。」
5頁「(3) システム保全機能の向上・・・・端末からのアクセス状況等を記録・解析できる機能を付与する等、今後ともシステムの特性を考慮しつつアクセス制御機能を更に向上させるとともに、情報保全の確保に努めていかなければならない。また、今後の情報化・ITの進展に伴い、これらシステムに関し、総合的・体系的な情報セキュリティを確保する必要が生じると考えられる。 」
6頁「(4) 施設保全機能の整備・充実・・・・テンペストと呼ばれるコンピュータ機器等からの漏えい電波に係る情報保全については、漏えい電波からの情報再現技術が向上してきていることを考慮する必要がある。」
13頁「イ 改善のための具体的方策 ・・・・(イ) 保全教育について、・・・・フロッピィディスク等の記憶媒体の取扱い等に係る教育を含めるとともに、」


 自衛隊においては、古くからBADGEリンク11などのシステムが個別にあったものの、この時期、汎用PCの普及に伴い従来のスタンドアローンとしての使い方から、システムの端末としての使い方に移行しつつある時代だった。この頃からサイバー空間が段々注目される時代になっていったと見てよいだろう。
 しかし、調査隊から自衛隊情報保全隊に至る間に、あまりサイバー空間での係わりが強いようには思えない。秘密のベールが厚く情報が限られ実態が分からないことはあるが、情報保全隊というと、やはりヒューミントを主体としてきた部門であろう。
 自衛隊としては、平成14年(2002年)3月に、統合幕僚会議事務局第3幕僚室(J-3)に「防衛情報通信基盤管理運営室」が新編されている。平成20年3月26日には、これが発展して自衛隊指揮通信システム隊が編成完結した。

 私の経験から言うと平成14年と言えば私物のOA機器の持ち込みが制限され始めた頃だ。
 平成22年(2010年)には防衛省委託研究として「サイバー脅威の動向と主要国のサイバーセキュリティ政策の現状と課題」が報告されている。当時は模索の段階であったのだろう。
 平成24年(2012年)には航空自衛隊が「中国は軍事的競争力を飛躍的に高めるためにサイバー攻撃をどのように利用するか」(Culture Mandala, Vol.8, No.1(2008年10月)掲載を部外委託で翻訳している。

 海上自衛隊も同年、 「『指揮命令と情報共有』及び『サイバー攻撃対処』に関する基礎研究」(24.4.19 海上自衛隊幹部学校第1研究室)を報告している。
 陸上自衛隊においては、同年、隊員による研鑚事業として出版する『陸戦研究』に、「サイバースペースにおける世界の動向と日本―日本におけるサイバー戦等対処を考える―」2012年3月号として掲載されたりはしているものの、組織としては1年遅れて平成25年末に「陸上自衛隊のサイバー戦(仮称)の在り方(終了報告)」(陸研本研秘第25-12)が報告されている。
 サイバー分野の研究で一番活発なのは防衛研究所のようだ。これに次いで海空の幹部学校の研究が目立つ。陸上自衛隊によるものは、上記の平成25年末の陸上自衛隊研究本部(現、陸上自衛隊教育訓練研究本部)のものがあるぐらいしか把握できない。

 意外に少ないのは防衛装備庁だ。平成31年の「研究開発ビジョン~多次元統合防衛力の実現とその先へ~解説資料『サイバー防衛の取組』」(2019年8月30日 防衛装備庁)が見られる程度である。防衛装備庁自身はハードウエアに主に関心があるのだろう。ソフトウエアの割合の多いものには、あまり関心が高くはないようだ。これは防衛研究所との比較で興味深い。防衛装備庁は防衛産業に対するサイバーセキュリティ体制の強化のため「防衛産業サイバーセキュリティ基準」を創設するなど産業界への関与の方に強い関心を示している。
 陸上自衛隊の部隊に絡むものでは、基礎情報隊の「米海軍、サイバー攻撃を懸念し将官人事の公表を制限」『基礎情報隊資料』2019年3月配信記事があるのみだ。基礎情報隊とは主に翻訳を通じて海外のオシント情報を収集する部隊だが、科学技術情報資料の収集整理を担当する部署もある。
 このようにみると陸上自衛隊の取組が一番遅れているようだ。殊に自衛隊情報保全隊独自の動きは見られない。

 その後の自衛隊の取組は下のとおりだ。  
 平成25年(2013年)7月には、防衛産業10社程度をコアメンバーとする「サイバーディフェンス連携協議会」(CDC:Cyber Defense Council)を設置し、共同訓練などを通じて、防衛省・自衛隊と防衛産業双方のサイバー攻撃対処能力向上に取り組む動きがみられる。
 平成27年(2015年)5月、サイバー分野での日米協力の方向性を示した共同声明を発表している。
 令和元年、(2020年)にはサイバー共通課程を創設し、サイバーセキュリティに関する共通的かつ高度な知識を習得させることとしている。
 その他、様々な動きが下には記載されている。

防衛省のサイバーセキュリティに関する近年の取組
https://www.mod.go.jp/j/publication/wp/wp2021/html/ns013000.html

 昨年以降では、ここに取り上げたものとして、

情報本部は、デジタル通信関連情報保証要員の委託教育103を、
統合幕僚監部は、ネットワークセキュリティ対策の知識を包括的に学ぶ部外教育受講(CND(Certified Network Defender))102を、
陸上自衛隊通信学校は、高度サイバー基礎集合教育(セキュアコーディング技術(攻撃に耐え得る、堅牢なプログラムを書くこと。)、ペネトレーションテスト(攻撃を仕掛け侵入を試み、課題を洗い出す。)用ツール作成技術及び不正通信検知回避技術についての実習)部外委託教育121を、
海上自衛隊保全監査隊は海曹士専修科情報セキュリティ課程の部外委託教育151を、
自衛隊指揮通信システム隊は、デジタル・フォレンジング(デジタルデバイスに記録された情報の回収と分析調査などを行うこと。)の部外教育の受講158

を行っている。

 この中で、自衛隊指揮通信システム隊(現、サイバー防衛隊) の(158)については単なる防衛というよりも、侵入形跡の追跡とか、あるいは鹵獲したPCなどからの情報収集などに関する技術で攻めの面が強い。
 統合幕僚監部の(102)、情報本部の(103)、海上自衛隊保全監査隊の(151)は、防御の態勢を築く面が強い。ただ(151)の内容はかなり専門性が強く、他の2つと比べると管理的な面より専門家養成という感じだ。(103)は防御に留まらず様々なシステムを熟知するような内容に見える。
 陸上自衛隊通信学校の(121)は防御に加え、防御能力を評価する内容だろう。
 はっきりしたことまでは分からないが朧気に役割分担が見えるような気がする。やはりサイバー防衛隊(旧、自衛隊指揮通信システム隊)が、この分野での主正面の槍としての戦力なのだろう。いよいよそれが下の記事のように実戦化するようだ。

自衛隊サイバー防衛隊が発足 陸海空の部署を一元化 松山尚幹2022年3月18日 9時00分 朝日新聞デジタル
https://www.asahi.com/articles/ASQ3K7DQ8Q3KUTFK01T.html

 他は自らの守りを固めるということだろうか。ただ統合幕僚監部や情報本部の場合は組織全体の管理という位置付けに対して、海上自衛隊保全監査隊は現場における対処という感じだ。陸上自衛隊通信学校は支援の役割だろうか。
 自衛隊情報保全隊は、自衛隊サイバー防衛隊と同様に自衛隊共同部隊であり、おなじ市ヶ谷駐屯地・基地・地区に所在するから様々な協力を取りつつ、脅威情報の早期収集に特化するという位置づけなのだろうか。IT班の規模もそれ程大きくなさそうだから能力を絞って他と協力するのであろう。

 保全というのは防御に当たる。防御は攻撃より強力だと言われる。クラウゼヴィッツは「戦争論」において「防御側は、攻撃側に対して行動を開始する場合には、攻撃側の出方を見たうえで適切な対策を講じることが出来るのであり、後手の利を得ることになる。」(6篇28章)としている。
 サイバー戦の場合、本格的な攻撃を仕掛けるに当たっては様々な探りを入れるのである。なぜならマルウエアを送り込んで、攻撃の踏み台とするには、様々なアクセスを突破しなければならないため、事前に侵入口を探すための攻撃を仕掛けるからだ。したがって防御側は、その兆候を検知し警報を与えることが重要だからだ。
 その役割を自衛隊情報保全隊が果たすということだと思われる。

関連記事

軍事問題研究会関連資料の紹介 関連資料として以下を所蔵しておりますので応談承ります。なお在庫切れの場合はご容赦下さい。お問合せはこちらへ。
なお、「システム」に関する資料についてはこちら、「保全」に関する資料についてはこちら、「脅威」に関する資料についてはこちら、「サイバー」に関する資料についてはこちら、「AI」に関する資料についてはこちら、「情報」に関する資料についてはこちらです。
(資料番号:19.9.16-1)「【対外発信・応答要領】外務省ウェブサイト『日米地位協定Q&A』の改訂」(2019年1月11日 外務省日米地位協定
(資料番号:16.9.26-1)「ドイツにおけるテロ防止のための情報収集―テロ対策データベース通信履歴の保存を中心に―」『外国の立法』(国立国会図書館調査及び立法考査局)No.269(2016年9月:季刊版)掲載
(資料番号:15.1.14-1)「【フランス2014年テロ対策強化法インターネットによるテロの拡大―」『外国の立法』(国立国会図書館調査及び立法考査局)No.262-1(2015年1月:月刊版)掲載
(資料番号:14.8.18-1)「エアシー・バトルの変容―対中作戦構想から、アクセス維持のための限定的作戦構想へ―」『海幹校戦略研究』第3巻第2号(2013年12月)掲載

みのごり@自動収益で100万円稼ぐノウハウ無料公開中
https://7-floor.jp/l/c/uAI904Zm/wtMHDJW1/
少ないフォロワー数でもガンガンに稼げる唯一無二のノウハウ ツイブラ
https://7-floor.jp/l/c/xFMWkzsy/wtMHDJW1/

▼CP▼【LP1】システムアフィリエイトプロジェクト2.0

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


%d人のブロガーが「いいね」をつけました。