「陸・海・空、そして宇宙。それに続く第5の戦場として“サイバー”が機能し始めています」

そう語るのは多摩大学大学院 特任教授であり、英国系コンサルティングファームでパートナーを務める西尾素己さん。近年ではロシア・ウクライナ有事におけるサイバー戦の分析を技術官として担当するなどの活躍を見せるホワイトハッカーでもある。

サイバーセキュリティの最前線で活動してきた西尾さんは、日本のセキュリティの現状をどう見ているのか。そして世界各国はどのような戦略でサイバーセキュリティというテーマに取り組んでいるのか。

2025年6月14日に開催されたITエンジニア向けイベント『ProTechOne 2025』で西尾さんが登壇したセッション「能動的サイバー防御を斬る」の一部を紹介しよう。

多摩大学大学院 特任教授
西尾素己さん

幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 2社のITベンチャー企業で新規事業立ち上げを行った後、 国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。CODE BLUE 2015ではiOSに存在する未知の脆弱性と世界初となる外部ガジェットによるiOSマルウェアの検知手法について学生枠を除く最年少として登壇（その後特許取得）。大手検索エンジン企業に入社し、日々行われるサービスへの莫大なサイバー攻撃対策や社内ホワイトハット育成、キャピタルファンドへの技術協力などに従事した後2016年11月よりコンサルティングファームに参画。同時に多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の首席研究員として着任。17年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任

日本の「能動的サイバー防御」は周回遅れ？

皆さんは「能動的サイバー防御」とは何かご存じでしょうか。

「攻撃されてから動く」のではなく「攻撃を察知して先に叩く」。そんな予防を能動的サイバー防御と呼びます。そしてそれを合法的に行うための法律がACD（アクティブサイバーディフェンス）法案です。

攻撃者を先に潰すという行為はどのように行うのかーー民間企業や個人の端末に何らかの脆弱性があり、攻撃者に乗っ取られてボット化したPCやサーバー、カメラといったさまざま機器が存在すると仮定します。攻撃者はそれらを踏み台にして攻撃してくるので、ボットネットを全てテイクダウン（無効化）すればいい。有識者会議での議論をもとに公表されたスライドではこのような主張がされているのです。

また、具体的なテイクダウンの方法については、「脆弱性によって侵入されているのだから、われわれもその脆弱性を使ってそのサーバーに入り、攻撃アプリケーションを全てアンインストールする」が王道だと言われています。

ただ、サイバーセキュリティ領域の人間からみると、「ボットが踏み台になって攻撃してくる」ことが王道だとされたのは20年前の話。このことからも、日本のサイバーセキュリティに対する感覚は遅れをとっている、と言わざるを得ません。

「全てのボットネットをテイクダウンする」戦略が無謀な理由

ここで、捜査機関が攻撃者を特定するまでに、一体どのくらいの壁が存在するのか考えてみましょう。まず最初の壁は、CDN*（コンテンツ・デリバリー・ネットワーク）です。CDNを悪用して、攻撃用のトラフィックを正規のドメインに偽装しながら中継することができます。

次の壁は、踏み台サーバーのクラスタです。政府のスライドで指摘されている通り、これは存在するでしょう。しかし本当に重要なのはその次。「攻撃用のインフラクラスタ」の存在です。

皆さんがアプリケーションを作るときも、一から環境を構築するのではなくAWSやAzureなどのクラウドサービスを使いますよね。攻撃者も全く同じ発想で攻撃者用サービスを使っています。彼らも「車輪の再発明」はしません。

こうした仕組みの中で、こちら側が攻撃用インフラクラスタの前後にある踏み台サーバーのクラスタをテイクダウンできたとします。確かに、匿名性の一部を剥がすことはできるでしょう。しかし、それだけでは攻撃自体を止めることはできません。本当に潰すべきは“前線”ではなく、“本丸”である攻撃用のインフラなのです。

ここで、ボットをテイクダウンするということがどれほど途方もない作業かを考えてみましょう。

写真提供：株式会社PE-BANK