セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

格言から考えるセキュリティ

今日はすこし趣向を変えて、格言からセキュリティを考えてみたいと思います。

私がセミナーで講演をする際には、よく格言を色々引用することが多いのですが(そしてあまり好まれないのですが)、色々と示唆に含む発言も多いので個人的に好きなものを列挙してみようと思います。

孫子の『兵法』より

彼を知り己を知れば、百戦して危うからず

セキュリティの研修(特に海外)で必ず引用されるといっても良い孫子の格言です。

最近ですと、敵を知るためにCTI(Cyber Threat Intelligence)という概念が現在登場していますし、己をするためにCSC(Critical Security Control)などでも#1と#2にてデバイスとソフトウェアの棚卸しをすることが推奨されています。*1

Kevin Mitnick "The Art of Intrusion"

The adage is true that the security systems have to win every time, the attacker only has to win once.

セキュリティ・システムは常勝を義務づけられ、攻撃者は一度勝つだけで良いという格言は的を射てる。

 この格言、ソーシャルエンジニアリングで有名なケビン・ミトニックの本で紹介されていたもので個人的に好きな格言です。セキュリティ担当者の大変なところは、一度でも情報漏洩が起きてはいけないという前提があるため、非常に難しい立場におかれていることをあらわす格言だと思います。

John Lambert(Microsoft Threat Intelligence Center)

Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win.

防御側は点で考え、攻撃者はグラフで考える。これが成り立つ限り、攻撃者は勝ち続けるだろう。

元ネタは、Microsoft社のThreat Intelligence Centerに投稿されたブログのタイトルなのですが、攻撃者は防御側の想定するような方法で攻撃してくれることはなく、あらゆる手段を使って攻撃をしてきます。それを踏まえた警句になると思います。(ブログ自体はもう少しグラフによる可視化とかの話なのですが)

その観点からすると、RedTeam型の総合型ペネトレーションテストは、防御側が想定しない方法で侵入することを試行するため、有益なのだと考えられます。

blogs.technet.microsoft.com

ビスマルク

Ich ziehe es vor, aus den Erfahrungen anderer zu lernen, um von vorneherein eigene Fehler zu vermeiden.

自分の間違えを避けるため、私はむしろ他人の経験に学ぶのを好む。 

よくセキュリティ事例の研究する際に引用されることが多いのですが、他社のインシデントは研究するに値する非常によいリソースです。インシデントの詳細が公開された際には、ぜひ詳細を取得して自社に対して机上評価を行うことをお勧めします。

かのシャーロック・ホームズもこんなことを言っています。

There is a strong family resemblance about misdeeds, and if you have all the details of a thousand at your finger ends, it is odd if you can’t unravel the thousand and first.

悪事には類型というものがあるので、もし過去の1000件の事件を詳細に知っていれば1001件目の事件を解決できないなんて考えられないよ

さすがに1000の事例研究を個別でしていくのは現実的ではないですが、多くの事例を研究することにより、新しい手口でも未然防止・被害最小化につながる部分があると考えられます。そもそも、新しい手口は往々にして過去の手口の組み合わせである場合や、精緻化したものが多いですので、他社の事例は積極的に活用していくべきだと思います。

Alexander Pope “An Essay on Criticism”

To err is human, to forgive divine

過つは人の常、許すは神の業

あまり聞きなれない格言だと思いますが、もともとはイギリスの詩人アレキサンダー・ポープが残した言葉で、『批評について』というエッセイでに書かれています。この言葉の前半部分は1999年にアメリカの発表された医療事故とその防止策に関する報告書のタイトルとして採用されたため、以後有名になりました。ヒューマン・エラー分析などでは非常によくでてくるキーワードです。

特に最近の標的型攻撃は人間の心理を巧みに利用した攻撃(InfoSec Handlers Diary Blog - Managing CVE-0)が多いですので、そのことを前提とした対策をすべきという意味で参考になる警句です。ヒューマン・エラー分析の手法などは色々と参考になる部分があると考えられます。

PSYCHO-PASS #13 「深淵からの招待」 より

だが考えてもみたまえ。もしシステムが完全無欠なら、それを人の手で運用する必要すらないはずだ。(中略)いかに万全を期したシステムであろうと、それでも不測の事態に備えた安全策は必要とされる。万が一の柔軟な対応や、機能不全の応急措置。そうした準備までをも含めて、システムとは完璧なるものとして成立するのだ。

ソリューション(製品)の強い自動防御の機能などを積極的に活用する一方、インシデントに大して万全を期すためには人の手による柔軟な運用が不可欠です。個人的には、セキュリティ担当者にはシステムが大半の攻撃を防御してくれている間に研鑽に努め、有事の際に柔軟な対応ができるように備えてもらいたいと考えています。

その他:悪魔の辞典

アンブローズ・ビアスの書いた『悪魔の辞典』という書籍をご存知でしょうか? 

新編 悪魔の辞典 (岩波文庫)

新編 悪魔の辞典 (岩波文庫)

 

言葉を痛烈な皮肉やブラックユーモアで再定義したもので、シニカルなユーモアがあって個人的には結構好きなのですが、これのセキュリティ版がないかなと考えています。(ちなみに、ビジネス版はあり、これもかなり面白いです。)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

ビジネス版 悪魔の辞典 (日経プレミアシリーズ)

 

ここでは、世の中のセキュリティ研究者が言っている「悪魔の辞典」風定義をいくつがご紹介しようと思います。

PDF

PDF = Payload Delivery Format

マルウェア解析で有名なSANS講師Lenny ZeltserのTwitterで見つけました。(言ったひとは違う人?)確かに、PDFが標的型攻撃に多数悪用されたことを考えると納得ですね。

f:id:security_consultant:20160813104330p:plain

セキュリティ診断と攻撃者について

You don't have to pay for a security assessment - someone is already doing it free. Difference is whether or not Krebs delivers the report.

セキュリティ診断にお金を払う必要なんてない。誰かが既に無料でやってている。違いは、Brian Krebs氏がレポートを書いてくれるかどうかだ。

攻撃コード開発やCTI(Cyber Threat Intelligence)のSANS講師として知られているMalware Jakeの定義です。Brian Krebs氏は、Krebs on Securityというブログでセキュリティニュースをいち早く報道することで有名な人ですが、日本風に言えばpiyolog氏が書いてくれることになるんでしょうね。

f:id:security_consultant:20160813104433p:plain

BYOD

BYOD = Bring Your Own Disaster

Permitting personally owned computing assets on your corporate network can present an unquantifiable risk to your sensitive information. Such system may not have appropriate security controls in place to present malicious activity or malware from gaining access to critical data

nuixというベンダーにもらったトランプにかかれていましたが、面白かったので引用しました。確かに、個人の端末を持ち込ませるなんて...というのは合意しつつ意外と利便性の高い考え方ではあるんですよね。

全く関係ないですが、ペンシルバニア州ではアルコール類の販売が非常に厳しく、よくBYOB(Bring Your Own Bottle)と呼ばれお酒を買って店に持ち込んだりします。

CSO (Chief Security Officer)

CSO = Chief Scapegoat Officer

情報セキュリティ統括担当役員のことをCISO(Chief Information Security Officer)とかCSO(Chief Security Officer)といいますが、情報漏洩が発生してしまった場合、その責任を取って首になるケースも多いことも多いことからChief Scapegoat Officerと呼ばれることも多いそうです。

まとめ

いくつか格言をもとにセキュリティを考えてみましたが、セキュリティという分野は色々な分野の知見を借りてきて対応する必要があると考えられます。心理学・安全学・社会学・組織行動論などの知見を総合的に活用したセキュリティを考えられると面白いと思います。(大学のセキュリティ関連のプログラムを見ていると、その傾向が見受けられて非常に良いことだと思います。)

*1:個人的には、兵法三十六計 - Wikipediaが好きで昔研究していたこともあるのですが、これのセキュリティ版とか作れないかなと思っています。