The Sliding Scale of Cyber Securityと孫子の兵法
以前のコラムで、サイバーセキュリティの成熟度モデル「The Sliding Scale of Cyber Security」について、その基本概念や各カテゴリーの説明を行い、筆者の考察を述べました。
「The Sliding Scale of Cyber Securityとは」
今回は、世界最古の兵法書「孫子の兵法」と、現代にまとめられた「The Sliding Scale of Cyber Security」にどのような共通点と違いがあるのかを考察し、コラムにまとめました。一方で、政府は能動的サイバー防御の導入に向けて着々と準備を進めています。これが実現すると、これまで防御一辺倒であったサイバーセキュリティの考え方を改める必要があります。これを踏まえて、本コラムでは、「The Sliding Scale of Cyber Security」と「孫子の兵法」の関係について考察し、主に中小企業の方々に対して、今後どのような点に注目すべきかについてご説明いたします。
目次
孫子の兵法とは
孫子の兵法は、今から約2,500年前、古代中国の春秋時代に軍事思想家である孫武によって書かれた兵法書です。計篇や作戦篇など、13篇から構成されています。この兵法書は、国家の存亡をかけた戦いにおける「戦わずして勝つ」ための戦略や戦術を述べており、古代から現代に至るまで多くの軍事指導者や戦略家に影響を与えてきました。例えば、三国志に登場する軍事指導者「曹操」は、孫子の兵法を熱心に学び、自身の注釈を加えた「魏武注孫子」を書きました。戦国時代の大名「武田信玄」は、孫子の兵法から引用した言葉「風林火山」を軍旗に用い、戦国最強の騎馬軍団として恐れられました。その他、江戸時代中期の新井白石や荻生徂徠、後期の吉田松陰も注釈書を執筆しています。現代では、孫子の兵法は様々な言語に翻訳され、軍事だけでなくビジネスやスポーツなど、様々な分野で応用されています。
なお、孫武が書いた兵法書は「孫子兵法」や「孫子」などとも呼ばれますが、ここでは「孫子の兵法」とします。
孫子の兵法が書かれた時代の背景
孫子の兵法が書かれたのは、古代中国の春秋時代(紀元前770年~紀元前453年)で、今から2,500年前です。この時代は、周王朝の衰退と共に各地で戦乱が絶えず、国々が存亡をかけて戦う大動乱期でした。戦国時代の前夜とも言えるこの時期、各国の軍事戦略家たちは生き残りをかけて知恵を絞り、戦術を磨いていました。
孫武は、紀元前535年頃、斉の国(現在の山東省付近)に生まれ、若い頃から兵法書に親しみ、黄帝や古代の名将たちの戦略を研究しました。「孫子の兵法」を書きあげた孫武は、紀元前515年、呉の王闔閭(こうりょ)に将軍として仕え、その軍事的才能を発揮しました。
孫子の兵法が作られた時代を理解しやすくするために、日本の時代と対比させてみましょう。孫子の兵法が書かれたのは、弥生時代の初期にあたります。長らく狩猟採集や雑穀栽培を中心とする縄文人が暮らしていた日本列島に、大陸から渡来系弥生人が渡来し、北部九州に稲作がもたらされた時期です。また、ざっくりと捉えるならば、日本では神武天皇が初代天皇に即位したとされる時期(紀元前660年※)とほぼ同じです。日本最古の歴史書である「古事記」と比較すると、古事記は奈良時代の712年に完成していますので、孫子の兵法は、古事記よりも約1,200年前に書かれた書物ということになります。孫子の兵法がいかに古い書物であるかということがご理解いただけたかと思います。(表1参照)
※神武天皇が即位した年代は諸説あり
孫子の兵法の基本概念
The Sliding Scale of Cyber Securityと孫子の兵法の共通点や違いを明らかにするために、まずは、孫子の兵法を代表することばから孫子の兵法の基本概念をまとめました。
孫子の兵法を代表することば
・兵とは国の大事なり。死生の地、存亡の道、察せざるべからざるなり。(計篇)
・兵とは詭道なり。(計篇)
・凡そ用兵の法は、国を全うするを上と為し、国を破るは之に次ぐ。(謀攻篇)
・百戦百勝は善の善なる者に非ざるなり。戦わずして人の兵を屈するは、善の善なる者なり。(謀攻篇)
・上兵は謀を伐ち、其の次は交を伐ち、其の次は兵を伐ち、其の下は城を攻む。(謀攻篇)
・彼を知り己を知れば、百戦して殆からず。(謀攻篇)
・昔の善く戦う者は、先ず勝つべからざるを為して、以って敵の勝つべきを待つ。(形篇)
・勝つべからざる者は守なり、勝つべき者は攻なり。(形篇)
・勝兵は先ず勝ちて而る後に戦いを求め、敗兵は先ず戦いて而る後に勝ちを求む。(形篇)
・凡そ戦いは、正を以て合し奇を以て勝つ。故に善く奇を出だす者は、窮まり無きこと天地の如く、竭きざること江河の如し。(勢篇)
・兵の形は水に象る。(虚実篇)
・迂を以って直と為す。(軍争編)
・其の疾きこと風の如く、其の徐なること林の如く、侵掠すること火の如く、動かざること山の如し。(軍争編)
・夫れ地形は、兵の助けなり。敵を料りて勝を制し、険阨遠近を図るは、上将の道なり。此れを知りて戦いを用いる者は必ず勝ち、此れを知らずして戦いを用いる者は必ず敗る。(地形篇)
・爵禄百金を愛んで、敵の情を知らざる者は、不仁の至りなり。(用間篇)
孫子の兵法の基本概念
1. 戦争の重要性
戦争は国家の存亡と人の生死に関わる重大事項であり、深い思慮と周到な準備が求められる。
2. 戦わずして勝つ
全ての戦いに勝つことが最善ではない。敵国を完全に保全することが最上の策であり、戦わずして敵兵を屈服させることが最も優れた戦略である。
3. 情報収集と分析
敵の実情を知り、自軍の実態も知る。そうすれば、百度戦っても危ういことはない。
4. 攻撃と防御
まず自軍の防御を固めて敵の攻撃を防ぎ、その後に敵の隙を見つけて攻撃する。攻撃は敵の充実した部分を避け、弱点を突く。
5. 機動性と適応性
軍隊の形は水の姿を理想とする。水に一定の形が無いように、軍隊にも不動の態勢はない。敵の状況に応じて迅速に動き、柔軟に対応することが求められる。
6. 正攻法と奇策
正攻法で敵と対峙し、奇策を用いて勝利を収める。優れた戦略家は、奇策を無限に生み出すことができ、黄河の流れのように尽きることがない。
7. 静と動
疾風のように駆け抜けるかと思えば、林のように息をひそめて身を隠す。燃え盛る火のように襲撃するかと思えば、そびえ立つ山のように微動だにしない。
8. 地の利の利用
地形の有利不利を理解して戦略を立て、地形を活かして戦術を展開する。地形や距離を戦略的に利用することが、勝利の鍵である。
9. スパイ活動と情報戦
敵の実情を知ろうとしないのは極めて無責任な行為である。仁と義をもって5種類のスパイを巧みに使いこなす。これが肝要である。
The Sliding Scale of Cyber Securityの基本概念
次に、The Sliding Scale of Cyber Securityの基本概念をまとめました。
1. システムと人
サイバーセキュリティを構成する要素は「システム」と「人」。「システム」だけでは守れない。「人」による活動が大事。
2. 攻撃と防御
サイバーセキュリティを高めるためには、防御一辺倒ではなく攻撃も必要。ただし、攻撃は合法的な措置と行動に限定される。
3. セキュリティに対する価値とコスト
アーキテクチャや受動的防御は、比較的低コストで高い防御力を提供する。一方、能動的防御やインテリジェンス、オフェンスは、より高いコストがかかるものの、特定の脅威に対する高度な対応力を提供する。
4. 機動性と適応性
人が介在しなくても動作し続ける伝統的なセキュリティ機器は重要であるが、人による機動性と適応性に富んだ積極的な活動が、より一層サイバーセキュリティを高める。
5. 情報収集と分析
データを収集して分析し、インテリジェンスを生成して消費する。これがサイバーセキュリティを高めるための秘けつである。
両者の比較
The Sliding Scale of Cyber Securityの基本概念と孫子の兵法の基本概念を比較します。まずは、予めわかっている相違点をピックアップしました。(表2参照)
The Sliding Scale of Cyber Securityと孫子の兵法を比較した結果、以下の共通点が見つかりました。
- 攻撃と防御
- 機動性と適応性・・・能動的防御
- 情報収集と分析・・・インテリジェンス
つまり、どちらも攻撃と防御の視点を持ち、人による積極的な活動と情報を重視しています。共通するカテゴリーとしては能動的防御とインテリジェンスです。
なぜ能動的防御とインテリジェンスが共通点として浮かび上がったのか?
・モデルは防御から攻撃までサイバーセキュリティの全体像を漏れなく示しています。
・孫子の兵法は大事な部分だけを示し、基本的な防御策を省略しています。
つまり、モデルでは当たり前に実施すべき部分と、より一層サイバーセキュリティを高めるために必要な部分を足し合わせて全体を示しています。一方、孫子の兵法では、大事な部分だけを取り上げており、アーキテクチャや受動的防御に相当する基本的な防御策は当然の前提とされ、省略されています。だから、両者が重視している能動的防御とインテリジェンスが共通点として浮かび上がったと考えられます。
2,500年前に書かれた孫子の兵法と現代のサイバーセキュリティのモデルに共通点が見つかったことは、非常に重要な発見だと思われます。時代や技術が変わっても、基本的な原理原則は普遍であることを示していると言えるのではないでしょうか。
能動的防御と能動的サイバー防御の違いについて
日本では、「能動的防御」に大変よく似た言葉で、「能動的サイバー防御」という言葉をよく耳にするようになりました。この項では、「能動的防御」と「能動的サイバー防御」の違いについて、解説します。
能動的防御
「能動的防御」という言葉は、もともとサイバー空間という概念がない時代の1930年頃から、受動的防御という言葉と共に出てきた軍事用語です。2015年、Robert M. Leeがサイバーセキュリティに応用し、サイバーセキュリティの成熟度モデル『The Sliding Scale of Cyber Security』を開発しました。本コラムで述べている「能動的防御」は、この成熟度モデルを構成する防御に係るカテゴリーの1つです。
定義 : アナリストがネットワーク内部に潜む脅威を監視し、対応し、学習するプロセス
解釈 : アナリストによる機動性と適応性に富んだ積極的活動であり、攻撃や反撃に係る行動は含まれない
能動的サイバー防御
「能動的サイバー防御」という言葉は、2022年12月に閣議決定された国家安全保障戦略に盛り込まれ、国家対国家の戦争も視野に入れたサイバー安全保障分野での対応能力を向上させるための戦略に関する用語です。国家安全保障戦略には次のとおり記載されています。
武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、
これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。
この文章を能動的サイバー防御の説明文と仮定して、3つのパートに分け、モデルのカテゴリーと対比させると以下のようになります。
パート1
「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合」
⇒インテリジェンスによって重大なサイバー攻撃のおそれがあると判明した場合
該当するカテゴリー : インテリジェンス
パート2
「これを未然に排除し、」
⇒先制攻撃によりサイバー攻撃をさせないようにする
該当するカテゴリー : オフェンス
パート3
「また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。」
⇒サイバー攻撃を受けた場合の被害の拡大を防止するために、①迅速にサイバー攻撃を封じ込める、②防御対策を見直して防御力を高める、③サイバー攻撃を受けた場合の対応能力を高める
④更なるサイバー攻撃を行わせないようにするために反撃する
該当するカテゴリー : インテリジェンス、能動的防御、アーキテクチャ、受動的防御、オフェンス
このパート3をどう解釈するかで、「能動的サイバー防御」の範囲が変わります。
考察結果
3つのパートを足し合わせると、この説明文は、モデルを構成する5つのカテゴリーの全てが該当することがわかります。つまり、能動的サイバー防御は、アーキテクチャ、受動的防御、能動的防御、インテリジェンス、オフェンスの全てのカテゴリーを包含した概念と言えます。また、この説明文には、以下の4つの意味が込められていると考えられます。
- ① 相手からの攻撃や反撃に備え、さらなる防御を固める(アーキテクチャ、受動的防御)
- ② サイバー攻撃を受けた場合の対応能力を高める(能動的防御)
- ③ 防御、攻撃のためのインテリジェンス能力を高める(インテリジェンス)
- ④ 攻撃能力を持つことで防御力を高める(オフェンス)
結論
「能動的防御」は、防御に係るカテゴリーの1つであり、攻撃や反撃に関する行動は含まれません。一方、「能動的サイバー防御」は、狭義と広義に分けて考えることができます。
狭義 : 「能動的サイバー防御」は、サイバー領域における先制攻撃や反撃を表す言葉です。
広義 : 「能動的サイバー防御」は、防御から攻撃までを包含した概念で、モデルを構成する5つの全てのカテゴリーが該当し、「能動的防御」よりも広い概念と言えます。これはあくまで筆者の現時点での見解です。
中小企業の現状
日本の企業は、大規模から中小まで様々ありますが、企業の数で言うと圧倒的に多いのは中小企業です。多くの中小企業では、リソースの制約から、マルウェア対策ソフトなど、人が介在しない伝統的なセキュリティ機器だけを導入し、人によるインテリジェンスを含めた積極的な活動はあまり実施されていないのが実情ではないでしょうか。一方、基幹インフラ事業者や防衛産業、経済安全保障に関わる企業など、高度なセキュリティ対策が求められる企業では、取り組み度合いは様々あるものの、インテリジェンスを含めた人による積極的な活動にも取り組んでいると考えられます。したがって、多くの中小企業は、成熟度が受動的防御に留まっており、次に目指すべきステージとしては能動的防御とインテリジェンスとなります。能動的防御とインテリジェンスは、サイバーセキュリティを高めるために欠かせない重要なカテゴリーであり、モデルと孫子の兵法の共通点でもあります。
能動的サイバー防御への適応
技術革新が起こるが故に、戦争ではいつの時代も新しい戦い方が求められます。ロシアによるウクライナ侵攻では、ドローンによる攻撃やハイブリッド戦、SNSを使った情報戦など、新しい戦い方が登場しました。また、ウクライナ軍とボランティアで構成される「ウクライナIT軍(IT Army of Ukraine)」が組織されました。ウクライナ内外(世界各国)から参加したボランティアは、ウクライナ軍からSNSを使って配信される情報を基にDDoS攻撃や情報戦を展開しました。今後も、戦争が起こる度に新しい戦い方が求められるでしょう。
政府は、サイバー安全保障分野での対応能力を向上させるため、サイバー攻撃を未然に防ぐ能動的サイバー防御の導入を国家安全保障戦略に盛り込みました。そして、2025年2月、政府は能動的サイバー防御を導入するための法案を閣議決定しました。能動的サイバー防御が本格的に導入されると、対策の焦点は防御中心から攻撃側にシフトし、より右側のカテゴリーも重要となってきます。サイバーセキュリティの高い成熟度が求められる企業は、アーキテクチャや受動的防御のさらなる基盤強化に加え、能動的防御とインテリジェンスへの取り組みが、より一層、重要となります。
※ハイブリッド戦では、物理的なインフラや資産も攻撃対象となるため、万一の有事を想定するならば、サイバー領域だけでなく物理的な保護策も必要です。本コラムでは説明を省略します。
能動的防御とインテリジェンスの理想的な取り組み:次のステージを目指すために
成熟度が受動的防御のレベルにある企業が、次に目指すべきステージの理想の姿を説明します。
アーキテクチャと受動的防御
能動的防御とインテリジェンスに取り組んでいる企業は、まず、アーキテクチャと受動的防御による『盤石なシステム基盤』を構築しています。システムの企画・設計の段階からセキュリティを考慮し、運用開始後も各種システム管理やセキュリティ管理、課題に対して短いスパンでPDCAを回し、常に継続的改善を図っています。「人が介在しなくても動作し続ける信頼性の高い伝統的なセキュリティ機器」により、大抵の脅威は自動でブロックされ、大きなインシデントはほとんど発生しないのが理想です。
能動的防御とインテリジェンス
どんなに「盤石なシステム基盤」を構築していたとしても、攻撃者はそれを乗り越えて侵入してくるため、能動的防御、つまり「アナリストによる機動性と適応性に富んだ積極的な活動」が不可欠です。能動的防御の活動として、まず挙げられるのはリアルタイムアナリシスとインシデントレスポンスです。例えば、セキュリティの監視とオペレーションを担うSOC(セキュリティオペレーションセンター)を構築し、リアルタイムアナリシスと迅速なインシデントレスポンスを行っています。しかし、インシデントレスポンスの担当者が常に対応に追われている姿は理想とは言えません。インシデントレスポンスに力を注ぐのではなく、インシデントの予防に力を注ぐのが理想です。また、セキュリティ機器をすり抜けた攻撃の痕跡を見つけるために、専門知識とスキルを持ったアナリストがスレットハンティングを行っています。さらに、アナリストが防御や攻撃に係るインテリジェンスの生成、特に自社にとって脅威となる情報の収集を行っています。監視対象は広く、インターネット、ダークウェブ、SNSなど、様々な領域を監視対象としています。その他、フォレンジック、マルウェア解析、ログ分析も行っており、外部委託せずに自社内で実施できる体制が整っています。
能動的防御とは「アナリストによる機動性と適応性に富んだ積極的な活動」のことを指すため、単に高度なセキュリティ機器を導入しただけでは能動的防御とは言えません。人が介在することで初めて効果を発揮するEDRやSIEMなどのセキュリティ機器は、アナリストが使う道具としての位置づけとなります。
組織的対応と人材育成
発生したインシデントに対して組織的対応を行うCSIRT(コンピュータセキュリティインシデントレスポンスチーム)が構築されており、リスクを最小化するためにあらゆる部署が一丸となって迅速に対応できる体制が整っています。内部組織や外部組織との活発なコミュニケーションを通じて情報を共有し、組織的対応を実施しています。また、あらゆるシチュエーションを想定した様々な訓練が行われ、練度向上に努めています。サイバーセキュリティの人材育成にも力を入れており、専門スキルを身に付けるために外部のトレーニングを受講しています。さらに、空いている時間には、いざという時に備えるためにフォレンジック、マルウェア解析、ログ分析などのスキルを磨いています。
ここで述べた理想像は、リソースが充実している企業では実現可能ですが、リソースが少ない中小企業にとってはハードルが高いかもしれません。しかし、高度なセキュリティ対策が求められる企業にとっては、能動的防御とインテリジェンスへの取り組みは欠かせません。まずは、外部の専門家やセキュリティ企業のサービスを活用しながら、できるところから少しずつ取り組み、成熟度を上げていくことが重要です。
まとめ
今回のコラムでは、「The Sliding Scale of Cyber Security」と「孫子の兵法」の関係について説明いたしました。
2,500年前に書かれた兵法書と現代のサイバーセキュリティモデルが、時代を超えて共通する原理を持っていることがわかりました。
「孫子の兵法が述べている原理原則は、いつの時代も普遍であり、現代でも通用し、どんな分野にも応用できる。」これが、孫子の兵法が現代でも多くの人に愛されている理由ではないでしょうか。
両者の共通点でもある能動的防御とインテリジェンスは、今後ますます重要となることが予想されます。受動的防御だけに頼った防御策から脱却し、能動的防御やインテリジェンスに本格的に取り組む時代がもうすぐそこまで来ています。能動的防御とインテリジェンスに取り組むことは時代の要請と捉え、前向きに検討されてみてはいかがでしょうか。
