Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

相手の立場に立って考える

 三菱電機サイバー攻撃があった事件の後、重要インフラ企業やそれを直接支える立場の企業の人から、「どうすべきでしょうか」という質問を何度かもらった。

 

 ・FireWallはxx社のものだが、問題ないか?

 ・訓練はしているが、海外の子会社に徹底できない。どうしたらいいか?

 ・不審な通信を察知したら、どのくらいの疑わしさで監督官庁に報告すべきか?

 

 いずれも簡単に答えられる質問ではないから、先日慶應のイベントで聞いた「予防が大事、そのためにはインテリジェンスが必要」との言葉を引用している。加えて、

 

 ・まず自社の状況から見て、仮想敵をいくつか考える。

 ・その仮想敵が攻撃してきた場合の目的や手段についても、候補を考える。

 ・それに対処する、最も合理的な方法を検討し、関係部署に徹底する。

 

 という少し具体的なプロセスを提案した。要するに相手を決め、ルールを決め、攻撃してくる相手の立場に立って考えようということ。

 

        f:id:nicky-akira:20200125111624j:plain

 

 特に国家がバックにいるような攻撃者に対しては、民間企業は(憲法9条がなくても)反撃はできない。だから「専守防衛」を厳重に行い、鎧の重みで身動きできなくなる。ライフルで撃たれたら、毒ガスをまかれたら、火をつけられたら・・・と考えていけば、重装甲の宇宙服でも着るしかあるまい。

 

 いま上記のような企業の担当部門は、誰が相手か・ゲームは何(将棋・チェス・囲碁・・・)か・どこでやるのか・いつやるのか等がわからないゲームプレーヤにされているようなもの。それを自社の狙われるものや狙いそうな相手、特に自社を狙う理由のあるものを特定していけば、「鎧」のかなりの部分は不要にできるだろう。

 

 インテリジェンスというと難しそうに思うのだが、基本的なことはリスクの相手やその目的・手段・時期などを絞り込んでいくための情報とその分析である。まだ小学生だったころ、将棋を教えてもらって少し指せるようになったら、

 

 「将棋盤の反対側に座って見ろ」

 

 と親父に言われた。すると、いくつか気づきがあった。自分の側からは攻め手ばかり考えていたのだが、反対側から見るとそのスキが見える。これがひとつ段階を上がった棋力なんだと理解した記憶がある。

 

 サイバーセキュリティも同じですよね。攻撃者の側に立って考えて、初めて効果的な防御もできようというものです。そのためのインテリジェンス・・・これについてはまたご紹介できることもあるでしょう。