Cyber兵法

兵法書からセキュリティ対策を考えます

兵は拙速なるを聞くも未だ巧久なるをみざるなり

孫子 作戦篇より 「兵は拙速なるを聞くも未だ巧久なるをみざるなり」

現代語要約


 戦いには多くの物資が必要であるため戦費は膨大である。戦いが長引けばその分戦費は膨れ上がり財政は疲弊し、兵士たちは疲れていく。その戦いで勝ったとしても、そのスキをついて別の勢力から攻め込まれるかもしれない。

 戦争には拙速(やり方は下手だったが早めに終わらせること)はあっても、巧久(上手に長期間行う)ということはありえない。


 セキュリティ翻訳


 セキュリティ対策にはもちろんお金がかかるものである。しかし必要な対策を先送りにしているとインシデント対応に無駄にコストがかかり、日々発生するインシデントにCSIRT要員は疲弊していく。そんな体制で持ちこたえてたとしても、攻撃者に先送りにしていた弱点を突かれてしまうかもしれない。

 セキュリティ対策において洗練されていない方法ではあるが流行の攻撃への対策を実施して成功したのは聞くが、丁寧ではあるが無駄に時間をかけて対策を実施していては間に合わないことが多々ある。


 

注釈

 これも孫子の中で有名な文句です。「兵は拙速を尊ぶ」とか「巧遅は拙速に如かず」とか言われますけど、実は孫子にはそんなことは書いていません。下手な方法でも早く終わらせた方がいい程度で、やはり最高なのは上手に素早く実施することです。

 セキュリティ対策においては、特に新しい脆弱性が公開された時などは攻撃者にゼロデイ攻撃を仕掛けられる前にパッチ適用をしなければならないなど、時間が勝負という事態に直面することがあります。そんな時にいつも通りテスト機で実証してから本番機でパッチ適用するという手順でやっていたら、すでに攻撃されていたという話をよく聞きます。もちろんテストもなしに本番機にパッチを当ててみたら動かなかったというのは最悪ですが、もし冗長化構成がなされているのであれば、片系だけパッチを当ててもう一方はテストしてから、といった手順もあり得るかもしれません。

 

 セキュリティ対策の分野で精度よくやった方がいいものと急いでやるべきものを、完全に個人的な意見で分けてみました。

 ●精度よくやった方がいいもの

  -CSIRT要員のセキュリティスキルの向上

  -組織の人員へのセキュリティ意識の向上

  -セキュリティ対策を始めるときに行う守るべき重要資産/情報の洗い出し

  -すでに基本的なセキュリティ対策をしたうえでのさらなるセキュリティ向上

  -経営陣等へのセキュリティ対策の重要性を訴えること

 ●急いでやるべきもの

  -公開された脆弱性への対応

  -実際にインシデントが発生してしまったときの対応

  -全然基本的なセキュリティ対策ができていないときの動きだし

  -というかセキュリティ対策の計画等がすべて決定した後の動き

 

人に関することは急くと失敗しますが、計画がしっかり決まったらすぐに実行したほうがいいですね。セキュリティ技術は廃り流行りの移り変わりが比較的はやいので、ゆっくりやってたらもっといい技術が出てたなんてことも。いまの流行りはAIを利用したマルウェアや攻撃の検知でしょうか。SOCにおけるオペレータはAIで代替されるという話もDEFCONであったようですし、自分の仕事がなくならない程度に楽ができるようになれたらな、と思います。

 

f:id:fushigiakiha:20170917150614p:plain