拓海先生、最近『MTDSense』という論文を聞きました。うちの現場でも「動く仕組みで攻撃をかわす」話は聞くのですが、これが逆に狙われるというのは本当ですか。経営としては投資対効果が気になって仕方ありません。
素晴らしい着眼点ですね!大丈夫です、順を追って説明しますよ。要点は三つです。まず、移動ターゲット防御(Moving Target Defense、MTD)は攻撃者の視界を短くするが、その“動きの痕跡”が漏れると狙われること、次にその痕跡をAIで見つけると攻撃の時間を最大化できること、最後に防御側はその痕跡を小さくするための更新手法を設計できることです。一緒に整理していけるんです。
「痕跡が漏れる」とは、例えばログやパターンのことですか。うちのネットワークは古いので、そんな細かい差は見えない気がしますが。
いい質問です。ここでの痕跡とは、ネットワークの通信の「タイミング」や「振る舞い」の微妙な差のことです。身近な例で言えば、店舗の定期巡回でドアの開閉タイミングに癖があると、泥棒にパターンを読まれるようなものです。MTDSenseはその「動きの癖」をクラスタリングという手法で拾うんですよ。
クラスタリングと聞くと難しそうです。これをやられると、うちのような中小規模のネットワークはどうなるのですか。投資に見合う効果があるのか心配です。
安心してください。ここで大事なのは三点です。第一に、MTDSenseは必ずしも大規模な環境でしか効かないわけではなく、通信量や構成によって検出精度が変わる点、第二に、防御側は更新のタイミングを工夫すれば痕跡を小さくできる点、第三に、実験はシミュレーションと実ネットワーク(SDNテストベッド)双方で評価され、移植性にも言及されている点です。導入前に自社環境での評価をすれば投資判断が立ちやすくなるんです。
なるほど。で、これって要するに「防御で動かしている側が、自分で動いた証拠を出してしまっていて、それをAIが見つけると防御の意味が薄れる」ということですか?
その通りです!素晴らしい着眼点ですね!要するに、防御が「動く」ことで攻撃者を混乱させる目論見が、逆に攻撃者に「いつ動いたか」を教える情報になってしまうことがあるんです。だから防御側は動かす戦略を練り直し、情報漏洩を最小化する必要があるんですよ。
具体的に我々が検討すべきポイントは何でしょうか。現場に落とし込む際、まず何を見ればよいですか。
まずは自社のネットワークで「更新のタイミング」と「通信のタイムスタンプ」を収集して、簡易的な分析を行う習慣をつけましょう。次に、もしMTDを導入するなら更新アルゴリズムの「時間化け(timing obfuscation)」を考えること、最後に評価フェーズを設けて、導入前後で検出可能性がどう変わるかを確認することです。短くまとめると可視化、時間の工夫、評価です。
分かりました。自分の言葉で言うと、「動かして守るは有効だが、その動かし方が透けて見えると逆手に取られる。だから動かす時間や間隔を工夫して、効果を維持する必要がある」という理解でよろしいですね。
