サイバーセキュリティでも「孫子」

ビジネス戦略においで「孫子」を愛用する方、特に経営者は非常に多いかと思います。中国の春秋時代の軍事思想家が書いた兵法書は、サイバー攻撃の面でも参考にすべきというの記事が出ていました。

www.darkreading.com

「最大の勝利は戦いを必要としない勝利です。」—孫子

古代中国の軍事戦略家孫子のこれら千年も昔の言葉-誰に戦争の芸術が起因している-は、今日でも非常に関連しています。最善の防御策は、そもそも攻撃を回避することです。適切なアーキテクチャとアプローチを使用すれば、サイバーセキュリティの軍拡競争から環境を保護して、攻撃者が攻撃したときに、そこにいないだけで済むようにすることができます。

キタきつねの所感

中国春秋時代と言えば、紀元前である事に今更ながら驚きます。

孫武が「孫子」を書いたのは紀元前5世紀中頃～紀元前4世紀中頃と推測されていますので、約2,500年前にまとめられた兵法書が、現代でも十分に役立つ内容（が含まれる）という事でもあります。

参考：孫子 (書物) - Wikipedia

Dark Readingの記事では、孫子の最も根幹となすと言っても過言ではない、「孫子」の第3章、謀攻編の冒頭に書かれている内容です。

『是故百戦百勝、非善之善者也。不戦而屈人之兵、善之善者也』

(百戦百勝は善の善なる者にあらざるなり。戦わずして人の兵を屈するは善の善なる者なり)

ここを意訳すると「最大の勝利は戦いを必要としない勝利」となるのですが、この有名の一文の続きの内容を読むと、（孫子全般にそうですが）実は”攻撃側”の立場で書かれています。

Dark Readingの記事では、ここを”防御側”に読み換えて、攻撃させない事をどう実現させるかの視点で書かれています。

実践攻撃回避
攻撃回避はと一緒に、企業のセキュリティの3つの重要な側面の1つです防止ネットワークおよびシステムが攻撃に対して強化されることを保証し、そして検出、識別異常や攻撃に対応するための手段を提供します。攻撃の回避は、大規模なゼロトラストの会話では見過ごされたり、包含されたりすることがよくありますが、リスク管理の最初の段階で対処することは、計り知れないメリットをもたらします。

攻撃を阻止する最善の方法は、攻撃が決して起こらないようにすることです。孫子の時代には、戦略的にも戦術的にも優位に立つために情報に優先順位を付けることを意味していました。現代のサイバー防御では、これはデータ、自動化、およびポリシーの全機能を活用することを意味します。

（Dark Reading記事より引用）※機械翻訳

孫子の時代が「情報の優先順位」が重要で、現代のサイバー防御は「データ、自動化、ポリシー活用」という部分には走り過ぎ感がありますが、記事の執筆者の1人にZscalerの方がいるので、少しそちらの色が強く出ていのかも知れません。

しかし、ここが素早い対応によって攻撃を諦めさせるという事を意図しているのであれば、前段の「情報の優先順位」がリスクアセスメント、あるいは脆弱性診断等の結果による、（王道の）対策優先順位づけでは、日々進化し続けているサイバー攻撃に追い付かないという指摘と読み取れますので、「データ、自動化、ポリシー活用」を目指していくのは妥当な方向性だと思います。

防御視点で記事に次に書かれていたのが、攻撃領域の最小化です。

攻撃を回避する最も簡単な方法は、攻撃対象領域を最小限に抑えることです。これを実現するには、次のことを行う必要があります。

・アウトバウンドのみのアクセスモデルを使用してクラウド配信のゼロトラストアクセスに移行することにより、外部の攻撃対象領域を排除します。
・プライベートアプリのゼロトラストユーザーからアプリへのセグメンテーションを活用することで、内部攻撃対象領域を減らします。
・エンドユーザーのインターネットトラフィックを保護することにより、個々のエンドポイントの攻撃対象領域を最小限に抑えます。
・クラウドアクセスセキュリティブローカー（CASB）、データ損失防止（DLP）、その他のソリューションなどのサービスとしてのソフトウェア（SaaS）コントロールを使用して、データ攻撃対象領域を削減します

（Dark Reading記事より引用）※機械翻訳

またZscalerの”得意な所”が強調されている気もしますが、「攻撃領域を最小化する」と言うのは、孫子の考え方にも合致し、攻撃する側の”やる気を削ぐ”という点でも、非常に優れた防御思想だと思います。

外側から見た攻撃領域、及び仮に内側に侵入されても、そこから見える攻撃領域が狭小化されているのは、まさに理想的な状態です。

※記事に書かれているその実現方法については、ゼロトラストアクセス、セグメンテーション、インターネット接続の保護、SASE（CASB、DLP等を使ったSaaSコントロール）が有効である事はよく分かるのですが、既にクラウドに全面的にIT（OT）環境を寄せている企業以外は、色々と考える事が多いので（※個人的にはアセスメントから始めるべきだと思います）、例えZscalerの最新ソリューションを入れたとしても、残課題に悩まされる事になる気もします。

しかし、ハードルは高くても目指すべき方向性は正しいかと思いますので、「孫子」思考のセキュリティ対策（戦略）の見直しを検討し、多くの企業が、その良い点を取り入れていってもらいたいと思います。

こうした作業は、少し足の長い話になる所が多いかと思いますが、まず優先的に取り組むべきだと思うのが、例えばVPN ゲートウェイやメールサーバーといった外接部分です。

見えないものを攻撃することはできません
従来のVPN ゲートウェイは、インターネット上の誰もが発見して関与できるオープンなインバウンドリスナーに依存しています。エンドポイントをネットワークに接続すると、ネットワーク全体（およびそれに接続しているエンドポイント）がランサムウェアまたは内部の脅威による潜在的な損傷にさらされます。インバウンドリスナーを削除すると、攻撃者の足がかりがなくなり、ユーザーをアプリケーションに接続すると、ネットワーク自体とユーザーが接続しているデバイスの両方が保護されます。

（Dark Reading記事より引用）※機械翻訳

SHODANを始めとするIoT機器のスキャンニングツールは、本当に色々と「見つけてくれます」。

攻撃者は既知の脆弱性、あるいはクラウド環境などの「設定ミス」を常時見張っていると言っても過言では無く、孫子の時代ではそこまで重要視されていなかったであろう、「偵察」能力が異様に発達していると考えた方が良く、また孫子の時代ではあり得なかった、1（自社）：多数（サイバー脅威アクター）のサイバー戦場に我々はいるのです。

参考：320個の（誤設定した）ハニーポットの80％以上が24時間以内に侵害され、全てが1週間以内に侵害された。

threatpost.com

孫子の有名な別な言葉に、「敵を知り、己を知れば、百戦して殆うからず」というものがありますが、敵が多すぎる時代には、まず「己」を知り、攻撃できる外接点を最小限にして（可能であれば守りを更に固め）、敵に攻撃を諦めさせる、その為には、「敵」が使うSHODANや、侵入ツール（侵入テスト）などを自身でも使って、「敵を（の狙いそうな点を）知る」事が求められているのかと思います。