Cyber兵法

兵法書からセキュリティ対策を考えます

百戦百勝は善の善なる者に非ず

孫子 謀攻篇より 「百戦百勝は善の善なる者に非ず」

現代語要約


 用兵の原則は敵国を傷つけずに降伏させることが最上であって、戦闘によって打ち破るのはそれよりは劣るのだ。この原則は国だけでなく軍や小隊までのすべての規模に適用される。

 ゆえに、百戦百勝は最善ではない。戦わずして相手を下すことが、最善なのである。


 セキュリティ翻訳


 セキュリティ対策において日頃の準備対策により攻撃の標的とならないことが最上であって、攻撃を受けてそれに被害なく対応することはそれより劣るのだ。この原則は、攻撃の規模によらず適用される。

 ゆえに、すべてのインシデントを無事収束させることは大切であるが、最善ではない。攻撃を受けない、もしくは事前の対応による堅牢化が最善なのである。


 

注釈

 孫子の中でも有名な文句です。戦わずして勝つ。とてもいい響きです。セキュリティ対策においても、難しいことではありますが、攻撃を受けない、もしくは事前の攻撃予兆の検知に対応して、脆弱性対策等を実施し攻撃されないといったことが最善かと思います。もちろん攻撃はより複雑化して、水際対策はすでに限界がきているといわれており、エンドポイント製品やSIEMがここまで流行しているのも、水際で防げなくて内部に入られたときにいかに検知・対策するかという考えが主流になっているからです。今後もその流れは変わらないと思いますが、孫子的にはサイバーキルチェーンでいう一番初めの偵察行動から遮断して、実攻撃まで仕掛けられないようにするのが最上なのでしょう。あとは偵察行動の際に全くのスキを見せずに攻撃者が攻めたくなくなるようにするとか。実際内部まで入られると、情報流出は止められても、感染端末のフォレンジック等面倒ですし。

 この原則はサイバー攻撃者側にも適用できるのです。攻撃者にとって一番の上玉は攻撃前の脅迫の段階でビットコインを支払ってくれる組織です。攻撃までやっても、支払ってくれるかわからないし足も付きやすい。言葉だけで相手を屈服させた方が楽です。なので、我々防御側は攻撃者側をこんな方法で勝たせてはならないのです。もちろん攻撃者側の資金源になってはいけませんしね。

 

f:id:fushigiakiha:20170622003623p:plain

 

【感想】プロフェッショナル 仕事の流儀「アンコール サイバー攻撃に挑む 名和利男」

 本日、NHKにて名和さんの番組を視聴しましたので、感想を。この番組自体は2015年のもので、あの攻撃があったころかな、など思いながら視聴していました。

 

www.nhk.or.jp

 

名和さんは日本のセキュリティ業界での有名人で、ある程度この業界にいたら知らなかったらモグリ、レベルの方です。セキュリティって平時はだれも気にしておらず、攻撃をされて初めて悪い意味で注目される、という悲しい宿命をもった業界のため、セキュリティ業界の人がテレビにでるというのはほとんどありません。国防に深くかかわっている人は身の危険もあるので特にそうかと思います。有名どころのSOCは、物理的攻撃を懸念しているため、基本的には場所は伏せられていますしね。

 それにしても名和さん一人が抱えている仕事量のあきれるほどの多さに、日本におけるこの業界の人とスキルの不足の深刻さを感じていました。各省庁だけでなく、民間のエネルギーや鉄道といった重要インフラ業種に対してもインシデント対応を行い、まさに一騎当千です。三国志なら関羽張飛レベルです。また、その仕事へのストイックさや時間の投入の仕方は、坂の上の雲に出てくる作戦立案に没頭する秋山真之を思い出しました。

 

 名和さんのすごさは置いといて、ここで考えなければならないのは各省庁のインシデントとはサイバー空間における戦争であるにもかかわらず、少なくとも番組において自衛隊もしくはその内部にあるサイバー防衛隊がインシデント対応ないしは防衛を行っていないことにあるかと思います。戦争っていうと憲法9状が効力を発揮してしまうので

難しいのかもしれませんが。サイバー防衛隊の全体像はあまり知られていないですが、北朝鮮のサイバー部隊と比べはるかに弱体であるといわれています。北朝鮮には3万ほどの要員がいるとも聞きますが、サイバー防衛隊の人数はおそらく100人程度とされています。そもそもサイバー防衛隊のトップが一等空佐なので、自衛隊の役職的に考えて、どんなに多くても1000人です。これでは自衛隊防衛省あとは内閣府ぐらいの防衛が限界なのでしょう。現代の戦争において、開戦直後はサイバー攻撃が行われるとされています。有名どころは2008年のグルジア・ロシア間の戦争におけるDoS攻撃でしょう。防御が困難な複数のDoS攻撃手法を組み合わせた、巧妙なものであったことが知られています。

 

matome.naver.jp

 

 

私自身は普通の民間企業のCSIRT要員ですが、この業界にいると普通の日本人では考えないであろう国家間のサイバー戦争やサイバーテロに直面したりします。サイバー戦争はSFの中だけの存在ではなく、この日本にも実際に起きていることだと日々実感しています。名和さんが言っていた、真実を知ってしまった人の責務、という言葉がとても重かったです。私はまだまだひよっこですが、この業界にいる以上そうした責務があると感じています。

 それを踏まえたうえで、名和さんのような家族との団らんも最小にして情報収集や解析に時間をかける生活に自分は耐えきれるだろうかということも感じました。名和さんのような方がいるから日本はまだやっていくことができるのだとしたら、いったいどれだけの報酬が必要なのか、自分だったらどのぐらい報酬をもらえば耐えられるだろうかとも考えました。少なくとも金銭だけでは無理かもしれません。孫子がいうように賞罰はとても大事なファクターです。だとしたら、日本国は自衛隊の肩代わりにサイバー防衛を行っている民間人に対しどれだけの報酬(金銭だけではない、権利や名誉その他も含む)を与えているのか、与えるべきなのかも考えなけらばならないでしょう。

 

 なんだかとりとめもないことを書いてしまいましたが、それだけ考えさせられる番組でした。見れなかった方は2017/6/23(金)の午前1時25分からまたやるそうなので、ぜひどうぞ。

 

兵は詭道なり

孫子 始計篇より 「兵は詭道なり

現代語要約


 軍事の基本は敵を欺くことである。だから能力や勇気があっても無いふりをし、敵を誘いこむ。敵の守りが薄い所や予想していない所を攻める。

 これが兵法家のいう勝利である。に合わせて攻撃を行うため、出陣前には作戦を決めることはできない。


 セキュリティ翻訳


 セキュリティ対策の基本は外部からの攻撃者には攻撃に必要な情報を与えないことだ。組織の体制やシステム構成は外部には漏らさず、攻撃者の攻撃を容易にはさせない。もし攻撃者がこちらの情報を収集し、対策が不十分なところを発見したら、そこを突いて攻撃してくる。

 セキュリティ対策における勝利とは攻撃者の付け入るスキを与えないことである。攻撃手法は刻刻と変わるため、技術的に何をしていれば完璧だということはできない。


 

注釈

 たぶん孫子の中でも最も有名な文句だと思います。サイバー攻撃の神髄はいかに相手(システムだったり人間だったり)をだますかです。メールの送信元や送信元IP、さらには身分を偽って電話をしてくるものも。正々堂々と攻撃してくれる攻撃者はそうそういません(DDoS攻撃の中のF5アタックは正面切っての攻撃かもしれません)。 

 それに対して残念ながら、普通の企業等の組織は外部の攻撃者に対して反撃することはできませんし、先制攻撃もできません(そもそもそんな技術もってないですし)。なので、攻撃者に付け入られないように情報を外部に漏らさないことが重要です。システム構成はもちろんですが、CSIRTのメンバーやスキルレベルも本当は漏らさないほうがいいと思います。

 攻撃者はどこか一点だけでも弱点を発見すれば攻撃が成功してしまいます。さらに攻撃手法は日々変化しています。特に標的型攻撃の場合、まさに攻撃者は相手の組織をしっかり調べて攻撃をしてくるため、セキュリティ対策において何をすれば絶対に守れるということは言えないのです。

 

f:id:fushigiakiha:20170617214816p:plain

 

兵は国の大事なり

孫子 始計篇より 「兵は国の大事なり」

現代語要約


 軍事は国家にとって重大事である。人の生き死や国家の存亡がかかっている。そのためよくよく考えないといけない。

 五つの基本事項でこれを計測し、七つの基準で敵味方、双方を比べて、実情を調べるのだ。

 五つの基本事項すなわち、一に道、ニに天、三に地、四に将、五に法、また七つの基準すなわち、民衆の支持を得ているか、司令官は有能か、気候や地形の条件はどちらに利しているか、法令は厳正に行われているか、兵卒たちは強いか、兵卒の熟練度はどうか、賞罰は公正か、これらを比較・調査をして戦う前から勝ち負けを予測するのである。


 セキュリティ翻訳


 セキュリティ対策は組織において重大事である。インシデント発生は組織の評判は下がり、損失が発生し、もしかしたら組織の存亡につながる可能性がある。そのためよくよく考えないといけない。

 五つの基本事項と七つの基準で自分の組織に対して自主監査をするべきだ。

 五つの基本事項すなわち、一に方針、ニに外部環境、三に内部情勢、四に経営層、五に規程、また七つの基準すなわち、組織内からCSIRT*1の存在は認められているか、経営層・CISO*2は有能か、組織を取り巻く環境はどうか、規程は正しく守られているか、CSIRT人員のスキルは高いか、組織の人員のITリテラシーに関する教育は十分行っているか、CSIRT人員への人事評価は妥当か、これらを自主監査してクラッカーに備えるのである。


 

注釈

 こんなブログを読んでる方はセキュリティ対策の大切さがわかっていると思いますが、まだまだコストの面でしかみていない方が多数かと思います。もちろんセキュリティ対策はお金だけがかかり、リターンが見えません。なので投資対効果も算出しづらいのはたしかです。しかし、インシデントが発生し、顧客情報流出や超極秘営業秘密の漏洩してしまうと組織の存亡に直結します。

 セキュリティ対策は経営者が取り組むべき経営課題だ、ということを経産省IPAが打ち出しています。企業においての「将・司令官」とはまさに経営者やCISOをさしています。システム部部長やCSIRTのリーダーに最終責任を負わせる、なんてことはできません。

www.ipa.go.jp

 

 それを踏まえたうえで、セキュリティ対策の計画をする際に自分の組織の現状をチェックしてみてください。もちろん、どんなセキュリティ製品を入れているかも大切ですが、セキュリティ分野の技術は日進月歩で変わっていくものに対して、経営者の姿勢や組織の人員のリテラシーなど、すぐには変えることのできないヒューマンな部分に関してもしっかり見直す必要があります。これらの自主監査をしっかり行って、効率よくセキュリティ対策を実施していきましょう。

f:id:fushigiakiha:20170617175514p:plain

 

*1:Computer Security Incident Response Team/コンピュータセキュリティにかかるインシデントに対処するための組織

*2:Chief Information Security Officer/最高情報セキュリティ責任者

はじめに

サイバー空間は陸・海・空・宇宙に次ぐ戦場と認識されています。

また、セキュリティの分野は軍事用語がたくさんあります。

  • キルチェーン
  • インテリジェンス
  • ~アタック

攻撃や防御がはっきりしていますし、暗号なんてものはまさに戦争とともに発展してきた分野です。

このブログでは、自分の勉強も併せて兵法書からセキュリティ対策に必要な考え方を読み解いていきます。

いまのところ以下の兵法書を見ていこうと思っています。

紀元前の兵法が、IT分野のなかでも流れのはやいセキュリティ分野でどこまで対応できるのか!!