サイバーセキュリティを哲学してみる

こんにちは、shefuyutaです。

今回書きたい内容に
タイトルを付けるとしたため
なんだろう

そう考えた時に
哲学という言葉が
1番しっくり来たので

なんだかカッコつけたような名前ですが
これに決めました笑

という訳で、
その今回書きたい内容は
何かというと

サイバーセキュリティの根底にある
概念的な何か
です。

的な何かって
なんだよと自分でも思いつつ

ただその的な何かを
定義しようと考えるから

哲学なんだということに
してください。

そして哲学と言うからには

その本質に
近づくために

あえて抽象度を高く保ったまま
いろいろと定義しながら
答えに近づきたいと思います。

さて、サイバーセキュリティを
一言で定義するとしたら、

そのフレーズの述語には確実に

守るとか
保護するとか
防止するとか

そういう動詞が来ます。

そしてそれらの動詞には
〜から、〜を
と言った
目的語？がつきます。

結論としては
サイバーセキュリティ=サイバー脅威から資産を守る
的な言葉になるんじゃないかと
思うのですが、

このサイバー脅威と資産
についても

定義が必要になってきます。

ではまず一つ目の
サイバー脅威ってなんでしょうか。

サイバー攻撃とか、サイバー犯罪者とか
類義語は挙げられるのですが
定義しろというと難しいです。

そこで、
人間が属する物を定義するためには
その目的とその達成に必要なアクションを定義すればいいと考えているので

まず目的を定義してみます。

サイバー脅威となるサイバー攻撃の
目的というと

標的にダメージを与えること
または標的から金銭を奪うこと
の大体どちらかだと思います。

そしてその目的を達成するために
必要なアクションはというと

ダメージを与えるにも
金銭を要求するにも
自由を奪わないといけませんね。

なので一旦サイバー脅威は、

標的の金銭を奪う、
または損害を出すことを目的として、
その標的の自由を奪うために
ITの世界で行う攻撃

としましょう。
ちょっと長いですが...。

では資産は何かというと、

ビジネス活動に不可欠となる情報データや製品
が当てはまりますかね。

なので、サイバー脅威の標的である資産は
情報データや製品
だということになります。

サイバーセキュリティの話に戻すと、
守る対象は情報データや製品
敵はそれらの資産の自由を奪おうとする脅威
となります。

えっと、うん。
そりゃあまあそうですね。
という結論のようですが、

話はここからです。

ではサイバー脅威から資産を守るためには
どうすればいいか。
実はここが本題です。

がむしゃらに
セキュリティ製品を散りばめておけばいいか

というとそれは違います。

目的を達成できない物に
意味はないからです。

哲学する上で意味はないという言葉は
適切ではないですが、

サイバーセキュリティをせっかく定義したので
その定義から外れる行動は
もはやサイバーセキュリティではない。
とでもいいましょう。

ではサイバーセキュリティが
サイバーセキュリティであるためには
どうすればいいか。

ヒントは
孫子の兵法にあります。

誰もが聞いたことがあるようなあの一節です。

彼を知り
己を知れば
百戦殆からず

です。

戦争の戦略家であった孫さんが
残した教えを、
その弟子たちが書物として残したもの

それが兵法という書物です。

そしてその中でも
多く語り継がれるこの一節には

負けなければ戦い続けられる。
戦い続ければ必ず勝てる。

そして負けないためには
敵の情報を把握し、
かつ自分自身の情報を把握することだ。

というような意味が
込められています。

これは
サイバーセキュリティにも通ずることです。

資産を守るために、
彼を知り、己を知れば
何回でも敵を弾き返せるんです。

ではサイバーセキュリティにおいて
彼を知るというのは
どういうことでしょうか。

情報には
必ず現在位置と目的地、それからルートの
3つの要素があります。

地図を見て把握する3要素ですね。

目的地=目的は
最初に考察した通りです。

現在位置は
標的である資産から
どれだけ離れているかです。

情報資産においては、
属するネットワークの外であれば遠く

さらにネットワークに
侵入するための情報が
少なければ少ないほど
さらに遠いということができます。

厳密にはネットワークにも
WANやLANという種別はありますが
一旦置いとくとして、

距離が離れていれば
離れているほど、
目的地までに必要なアクションも時間も
増えます。

そしてルートは
どの方法を用いて攻撃してくるか
と言う情報です。

攻撃側に
色々な選択肢が用意されていて

そのどれをどんな組み合わせで
いつ攻撃してくるか

それがルートに当たる情報です。

考えても一向に分かりませんが、
一つだけ候補を絞る方法があります。

それが
己を知る
です。

彼を知ると己を知るは
別じゃないのか

そんな声も聞こえてきそうですが、

原点に戻ってください。

敵にも目的があるんです。

目的を達成するための手段を
ルートとして選択するでしょう。

そしてその手段として選ばれるルートは
己の情報の中に潜んでいます。

そのルートとなる
己の情報は何か

脆弱性です。

攻撃を成功させるのに
最も簡単な方法は
脆弱性をつくことです。

エクスプロイト攻撃という言い方もしますが、
要するに弱点を見つけてそこを突いてくるんです。

彼を知る
というのは敵にとっても同じです。

脆弱性を知られないようにするのが
1番ですが、

SaaSやオープンソース基盤であれば
誰でも分析できますし、

利用者が多ければ多いほど
攻撃者にとって研究価値があるので

開発者よりも先に
攻撃者が脆弱性を見つけることもあります。

この攻撃者が先に見つけた脆弱性を
ゼロデイ脆弱性と呼び

さらにその脆弱性を突く攻撃は
ゼロデイ攻撃と呼ばれます。

攻撃者しか知らない脆弱性なので
セキュリティパッチも当然存在せず
無防備な状態となります。

具体的な話になってきたので
ゼロデイ攻撃についてはこの辺に
しておきますが、

脆弱性を突くことが
攻撃者のルートとして最適解である
と言う根拠としては充分かと思います。

さらに、己を知るの1要素としては
ネットワーク構成を把握する
と言うのもあります。

資産の在処、
そこまでの道順、
各地点の特徴

これらは脆弱性を含む
アタックサーフェスというリスク
を知る最善の方法です。

ということで、
結論としてサイバーセキュリティとは何か
というと

敵を知り、自分のネットワーク構成を知った上で
サイバー脅威の行動を先読みし
阻止すること。

という答えに行きつきました。

例えゼロデイ攻撃であっても
攻撃者の目的は変わらないので

攻撃者の挙動を
見つければいいのです。

それを実現できる
セキュリティソリューションを
導入し、正しく使うことが

サイバーセキュリティの正解です。

ものすごく抽象的ですが
哲学と言うことで
この辺で終わっておきます。

ではまた。