『知彼知己者百戦不殆』

2015/02/23

今回のタイトルは「彼を知り、己を知る者、百戦して殆(あやう)からず」と読みます。「敵を知り、
己を知れば、百戦危うからず」と言うと分かる方も多いと思います。
昔の中国の兵法書「孫子」の中でも最も有名な一節です。戦う相手のことをよく知り、自分の状態を良く知れば、どんなに戦っても大丈夫である、という意味で、兵法=軍事に限らずいろんな世界で引用されている言葉です。

今回なぜこの言葉を情報セキュリティのコラムのタイトルに持ってきたのかというと...
「情報セキュリティにおいても同じことがいえる」ということを言いたいからなのですが、現実はなかなかそうなっていないという状況です。


敵を知る

情報セキュリティにおいて「敵」とは「脅威」という言葉で表現されるものと読み替えても大丈夫でしょう。コンピュータウィルスを含む悪意のあるソフトウェア、DDoS攻撃、不正アクセスや不正侵入を試みる人、営利目的で個人情報やクレジットカード情報を狙う者、スパイ、場合によってはそういうことを行う国家機関も脅威に当てはまります。

脅威は「悪意のある外部」からのものとは限りません。組織の内部の人間が悪意を持つ場合も脅威となり、悪意のない誤送信やシステムの不具合なども脅威となります。

「敵を知る」、つまり、これらの情報セキュリティにおける脅威がどのようなものか、どのように進化しているのか、何を狙って、どのような攻撃を行うのか、ということを知ることは情報セキュリティ対策をするうえでとても重要です。

では、これらの情報や知識はどこから得られるのか?
ネットにかなりの情報は流れているので、情報セキュリティ関連のサイト、セキュリティベンダーが発行しているホワイトペーパーなどを見ることが簡単であり有用でしょう。 ただ、当然のことですが、日本語ではなく英語情報の方が内容も最新で充実したものが多くあるため、可能であれば英語情報もチェックするようにしましょう。また、セキュリティ製品ベンダーの製品のカタログや関連資料、提案書には
「煽り」として脅威に関する情報も掲載されているため、参考になる場合も多いです。


己を知る

「己を知る」、つまり、敵からの攻めに対する「守り」を知る。
自分達の組織が、きちんとしたセキュリティの対策をしているか?ということを知ることです。Firewallでネットワークのアクセス制御をして、ウィルス対策ソフトを入れて、パッチを当て、ログを取得しチェックする等、いろいろな対策がありますが、自分達の組織に何が導入されているのか?自分たちの組織のセキュリティ対策がどうなっているのか?が分からなければ、敵からの攻撃を防ぎようがありません。
また、セキュリティ対策には運用がつきものです。アカウントの棚卸、ログのレビューと対応、脆弱性へのパッチ適用等々、きちんと運用しなければ、セキュリティホールになってしまうものも多いのです。
そしてその運用状況はどうなっているのか?こういった運用がきちんとできているか?を知る必要があります。

何が導入されているのか?ということについては、大体の組織において把握できている場合が多いのですが、それらの運用状況になると結構アバウトな場合が多いというのが私のこれまでの経験からの印象です。○○の仕組みが入っていて問題も起きていないから、運用も大丈夫なはず!という思い込みを持った
組織が非常に多く存在します。
「運用がきちんとされているか?」を本気でチェックしている組織は意外に少なく、チェックをするための工数が必要だが人員も予算もない、日常業務が忙しく手が回らない等という理由で後回しになり、ここでの「己を知る」という部分がおろそかになっていることが多々あります。


守るモノを知る

さて、「己を知る」ということで、敵からの攻めに対する「守り」を知るということ以外に、もう一つ重要な「己を知る」があります。それは「守るモノ」を知るということです。
情報セキュリティ対策の目的として、「不正侵入されないようにする」、「情報漏えいしないようにする」というのは間違いではないのですが、本来的には「自分たちの組織の事業を守る」というのが正しい目的です。
そのため、自分たちの組織の事業・業務は何なのか、事業の規模はどの程度なのか、どんな情報を扱っているのか、どんな企業と取引をしているのか、どんな情報システムなのか、従業員はどんな人たちなのか、どんな作業環境なのか、予算はいくらなのか、といったことを把握する必要があります。そして、自分たちの組織の状況に合わせて、情報セキュリティ対策を検討し、導入する必要があります。これは、どの程度の情報セキュリティ対策を行えばいいか、つまり「守り」をどうするか、ということにもつながります。
ただ、「自分たちの組織の状況を知る」というところから、「自社のセキュリティ対策の検討」をきちんと連携して行うのは難しい部分であり、きちんと出来ていないところが多いのが現状だと思います。

よくある状況としては、組織の担当者は、「自分たちの組織に合った製品を提案してくれるだろう」と期待をして製品ベンダーの営業・担当者を呼んでいるのですが、製品ベンダー側は「お客様の側で状況を検討した結果、製品が必要だから呼ばれている」というものです。この状況だと、本当にその製品が必要なのか、また、その製品の機能が必要だとしても組織の状況にあった製品か?という部分の検討がなされない状況で話が進んでしまい、ちぐはぐなセキュリティ対策になることがあります。

こういうことにならないように、「守るモノ」である自分たちの組織の状況を知るというところから、「守り」である自社のセキュリティ対策の検討を連携して行うのが、本当の意味での「己を知る」ということなのです。

さて、「百戦危うからず」とまでは行かなくても、「百戦のうち九十八戦位は危うからず」にはしたいのですが、どうでしょうか?


** コラム執筆 **
株式会社マインド・トゥー・アクション
中島浩光

【関連するサービス】
サイバー攻撃リスク分析/セキュリティ対策計画策定支援
 お客様が晒されているサイバー攻撃の実態を調査・把握、追加または強化すべき具体的なセキュリティ
 対策を優先順位を付け整理し、お客様の状況に応じた、実行可能なセキュリティ対策へのロードマップ
 をご提案します。

情報セキュリティ安心ドクター
 情報セキュリティ運用に関するお悩みに、セキュリティ専門家がいつでも相談対応いたします。