2023年8月25日開催 セキュリティ分科会イベント
【関ケ原合戦に学ぶサイバーセキュリティ】

 2023年8月25日(金)、CIO Lounge情報セキュリティ分科会主催イベントとして、「関ケ原合戦に学ぶサイバーセキュリティ」と題したセミナーが実施されました。セミナーでは、日本プルーフポイント株式会社の増田 幸美(そうた ゆきみ)様の基調講演の後、グループごとにディスカッションが実施され、最後の懇親会までの5時間半、濃密な学びと気づき、親密な懇親の場となりました。

 基調講演では、冒頭5つの城攻め方法をサイバー攻撃に例えて解説頂き、どんどん話に引き込まれました。具体的には、「力攻め」はネットワーク集中攻撃(DDOS攻撃)、「水攻め」はランサムウエア、「兵糧攻め」はサプライチェーン攻撃、「奇襲」はゼロデイ(未知の脆弱性)、「調略」は内部脅威、との見立てです。

関ケ原合戦は調略戦だった

 天下分け目の戦いと言われる関ヶ原合戦は、日本の歴史において、戦略と心理が織り交ぜられた重要な出来事であり、その教訓は現代のサイバーセキュリティにも適用できるという点で、大変興味深く感じました。

 兵力は西軍8万に対し東軍9万とほぼ互角であり、陣形は西軍が東軍を取り囲むように高い山に陣取ることで、西軍が「制高点」と呼ばれる戦いを有利に導くポイントを押さえていたにも関わらず、関ケ原合戦はわずか6時間で勝敗が決した理由は、小早川秀秋の裏切り(内部脅威)によるものが大きな要因であり、その裏切りの背景には東軍側の調略があったとの説です。

                  講師の増田様

「人の脆弱性」と「不正のトライアングル」

 関ケ原合戦のような戦でもサイバーセキュリティでも、一番厄介で最後まで完全な対策を打ちづらいのが、「人の脆弱性」に伴って発生する内部脅威です。この合戦をサイバーセキュリティの視点で分析した上で、現代の世界に引き戻し、特に内部脅威について詳しく講演頂きました。

 人はなぜ不正をするのかを考察する際によく用いられるフレームワークが、アメリカの犯罪学者ドナルド・R・クレッシーによる「不正のトライアングル」です。不正は、「動機」「機会」「正当化」の3つが揃ったときに発生するものであり、不正防止の観点では、この3つのうち1つでも抑止できれば、不正防止できると言われています。

 関ケ原合戦で見られた小早川秀秋の裏切りにおいては、「動機」として恨み、金銭目的、恐怖があり、「機会」としては最高の制高点に陣を張っており、「正当化」できる理由づけもできたことから、3要素が揃い、不正(裏切り)に結びついてしまいました。

 この不正のトライアングルはサイバーセキュリティの領域においても非常に有用なフレームワークとなります。例えば、企業のサイバーセキュリティにおける内部不正行為を防ぐためには、従業員が不正行為を起こす「動機」は個々人で異なることから取り除くのはなかなか難しいですが、実施可能な「機会」を減らし、「正当化」を困難にするような方策が必要となります。

「機会」を減らす方策

 不正の「機会」を減らすためには、監視・管理を強化する必要があります。理想的には、大量のログを取得したものをAIで分析し、適切な警報を出すことが望ましいのですが、内部脅威の場合はもともと正規の操作権限を保有していることも多いために、誤検知や見逃しが存在することが課題であり、実運用をしながら、企業ごとに各情報の重要度ランクに応じた監視・管理のテーラリングが必要となります。

 一般ユーザーに対しては、小さな問題でも放置せず、大きな問題へとエスカレートする前に速やかに対処する「割れ窓理論」に基づく仕組み・風土づくりや、「常時監視されている」ということの意識づけが大切となります。また、システム管理者についても、Watch the watchersや2名による同時作業などの牽制機能を今後検討するシーンが増加すると考えています。

「正当化」を減らす方策

 不正の「正当化」を減らすためには、「継続的な研修」実施が必要不可欠です。研修の観点として、三識(知識・意識・胆識)が重要だと言われており、これらを経営層から従業員まで全てに渡って継続的に実施することが求められると思います。

  • 知識:セキュリティや法律に関する基本的な知識や最新の脅威の情報を身につける
  • 意識:セキュリティ確保の重要性に対する意識向上と高い倫理観を醸成する
  • 胆識:特にインシデント発生時に求められる緊急時に迅速かつ効果的な対応を取る勇気と決断力を身につける

 420年以上前の関ケ原合戦と現代のサイバーセキュリティは、一見無関係に思われますが、このセミナーを通じて実は多くの共通点と教訓があることが分かりました。どちらも最大のリスクは「人の脆弱性」であり、この観点も踏まえた上で、サイバーセキュリティ対策を実行・実践し続けていく必要があると思います。