Cyber兵法

兵法書からセキュリティ対策を考えます

兵は詭道なり

孫子 始計篇より 「兵は詭道なり

現代語要約


 軍事の基本は敵を欺くことである。だから能力や勇気があっても無いふりをし、敵を誘いこむ。敵の守りが薄い所や予想していない所を攻める。

 これが兵法家のいう勝利である。に合わせて攻撃を行うため、出陣前には作戦を決めることはできない。


 セキュリティ翻訳


 セキュリティ対策の基本は外部からの攻撃者には攻撃に必要な情報を与えないことだ。組織の体制やシステム構成は外部には漏らさず、攻撃者の攻撃を容易にはさせない。もし攻撃者がこちらの情報を収集し、対策が不十分なところを発見したら、そこを突いて攻撃してくる。

 セキュリティ対策における勝利とは攻撃者の付け入るスキを与えないことである。攻撃手法は刻刻と変わるため、技術的に何をしていれば完璧だということはできない。


 

注釈

 たぶん孫子の中でも最も有名な文句だと思います。サイバー攻撃の神髄はいかに相手(システムだったり人間だったり)をだますかです。メールの送信元や送信元IP、さらには身分を偽って電話をしてくるものも。正々堂々と攻撃してくれる攻撃者はそうそういません(DDoS攻撃の中のF5アタックは正面切っての攻撃かもしれません)。 

 それに対して残念ながら、普通の企業等の組織は外部の攻撃者に対して反撃することはできませんし、先制攻撃もできません(そもそもそんな技術もってないですし)。なので、攻撃者に付け入られないように情報を外部に漏らさないことが重要です。システム構成はもちろんですが、CSIRTのメンバーやスキルレベルも本当は漏らさないほうがいいと思います。

 攻撃者はどこか一点だけでも弱点を発見すれば攻撃が成功してしまいます。さらに攻撃手法は日々変化しています。特に標的型攻撃の場合、まさに攻撃者は相手の組織をしっかり調べて攻撃をしてくるため、セキュリティ対策において何をすれば絶対に守れるということは言えないのです。

 

f:id:fushigiakiha:20170617214816p:plain