NASAのジェット推進研究所(JPL)は、10億ドル(約1100億円)規模の宇宙船を設計、建造、そして運用している。そうした事業自体が攻撃対象となる。情報セキュリティの世界でAdvanced Persistent Threats(APT、持続的標的型攻撃)と呼ばれる攻撃を仕掛ける者たちは、境界の外をうろつき、宇宙船の操作に利用される地上中継局に接続している地球上ネットワーク、すなわち「地上データシステム」へのアクセスの機会を常に狙い続けている。
おそらく敵の目的は、秘密のデータと独自技術を盗み出すことだが、10億ドル規模のミッションが妨害されるリスクも存在している。過去数年間、APTが何カ月もシステムに侵入していた例を含む、複数のセキュリティ侵害事案を受けて、JPLはサイバーセキュリティへの多大な投資を開始した。
私はNASAのサイバーセキュリティに関するキー研究者であるArun Viswanathan(アルン・ヴィスワナタン)氏にその仕事についての話を聞いた。その内容は「現代の情報セキュリティを代表する内容」と「JPL特有の懸念事項」といった魅力的なものだった。とはいえ、重要なメッセージは前者のカテゴリの中にしっかりと含まれている。それは、情報セキュリティは、事後対応的ではなく、予防的なものでなければならないということだ。
JPLの各ミッションは、いずれも半分独立したスタートアップ企業に似ているが、技術的な制約はシリコンバレーのスタートアップたちとは非常に異なるものになりがちだ。例えば、ミッションのためのソフトウェアは通常、自社開発で革新的なものだ。なぜなら彼らのソフトウェア要件が、非常に厳しいためだ。たとえば、ソフトウェアの不正によって、宇宙探査機のCPUが100%占有されてしまうことは絶対に許されない。
成功したミッションは非常に長く続く可能性があるので、JPLは、数十年前の古くて誰も保守していないシステムを、多数保持している。彼らはそのセキュリティソリューションを、そうした古いソフトウェアの限界を踏まえて設計しなければならないのだ。ほとんどの企業とは異なり、それは一般に公開されていて、100人単位で施設見学者を受け入れている。さらには、他の宇宙機関などの、システムに特権的なアクセスをすることができる多くのパートナーがいる。
それらは、一方では国家への攻撃者からの格好の標的になっているのだ。そして言うまでもなく、それらは興味深い脅威モデルだ。
ヴィスワナタン氏は、2つの主要プロジェクトに主に焦点を合わせてきた。1つは、JPLの地上データシステム(すべての異種ネットワーク、ホスト、プロセス、アプリケーション、ファイルサーバー、ファイアウォールなど)のモデルと、その上の推論エンジンの作成だ。このモデルの内容は、プログラムを使って照会できる。
なお、興味深い技術的なサイドトピックがある。このプロジェクトで使われるクエリ言語はDatalogる。これは最近の復活を遂げた由緒あるPrologの、チューリング完全ではない派生物だ。
話を元に戻そう。このモデルができる前は、「この地上データシステムのセキュリティリスクは何ですか?」という問に自信を持って答えることができる人はいなかった。何十年もの歴史がある他の組織と同様に、その知識は大部分が、文書と人間の頭脳の中に閉じ込められていた。
このモデルがあることで「JPLのカフェテリアにいる誰かが、ミッションクリティカルなサーバーにアクセスすることは可能か?」といったアドホックな問い合わせが可能になる。そして、推論エンジンは経路を検索し、サービスと構成情報を一覧化する。同様に、研究者は、攻撃者の目標から逆算して、攻撃者がその目標に到達すると考えられる「攻撃ツリー」経路を構築し、それらをモデルにマッピングして、攻撃の緩和策を策定することができる。
彼のもう1つの主要なプロジェクトは、JPLの「サイバー状況認識力」を高めることだ。言い換えるなら、リアルタイムでデータを収集および分析できるようにシステムを装備して、攻撃やその他の異常な動作を検出するということだ。たとえば、CPU使用率の急上昇は、サーバーが侵害によって暗号通貨マイニングに使用されている可能性を示しているのかもしれない。
昔物事がうまく行っていなかった頃は、セキュリティは事後対応型だった。誰かが問題に遭遇しマシンにアクセスできなかった場合に、彼らは問い合わせをしてはくるものの、それはあくまでもその当事者が観察可能な範囲で行われているだけだった。最近では、多くのログインの失敗を重ねてやっと成功するといった形で示される、ブルートフォース攻撃などの単純なものから、通常の利用パラメーター以外による操作コマンドを機械学習ベースで検出するより複雑なものまで、悪意のある異常なパターンを監視することができる。
もちろん、攻撃ではなく単なる異常の場合もある。逆に、この新しい観測可能性は、システムの非効率性、メモリリークなどを、事後的にではなく予防的に特定するためにも役立つ。
もし読者が、Digital Oceanダッシュボードとそのサーバー分析のパノラマを見慣れている場合には、これらはみな非常に基本的なものに見えるだろう。しかし、既存の一様ではないレガシーシムテムを、大規模な観測性向上のためにリエンジニアリングすることは、まったく別の話なのだ。境界線とインターフェイスを見るだけでは十分ではない。特に特権アクセスを持つパートナーの観点から、境界内のすべての動作を観察する必要があるのだ。なぜならそこが侵害された場合には、そのアクセスが悪用される可能性があるからだ 。これはJPLに対する、悪名高い 2018年の攻撃の根本原因だった。
JPLの脅威モデルはとても独特だが、ヴィスワナタン氏の仕事は、私たちのサイバー戦争に対する、勇敢な新しい世界をみせてくれる。宇宙機関であれ、大企業であれ、成長しているスタートアップであれ、現代は情報セキュリティに積極的に取り組む必要がある。攻撃者の気持ちになって考えながら、異常な動作を継続的に監視することが重要だ。何か悪いことが起こったことがわかった後に反応するだけでは不十分なのだ。侵害につぐ侵害のニュースに巻き込まれる前に、読者の組織がこうしたことを簡単に学ぶことができるように祈る。
[原文へ]
(翻訳:sako)
