本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
セキュリティ対策をどれだけ実施したとしても、猛威を振るうサイバー攻撃に対して追い付くことはできず、対策のゴールに到達することは困難だ。その理由は、攻撃手法の進化や巧妙化、ITの進化が早く、コンピューティングの範囲もどんどん拡大していることなど挙げれば切りがない。そんなサイバー攻撃について、セキュリティ対策をしているベンダーや識者などから「サイバー攻撃は攻撃側が絶対的に有利」だという話を聞くことが多い。
本連載の読者も、このような話を一度は聞いたことがあるのではないだろうか。筆者もその内容にはほぼ同意するが、実はサイバー攻撃に限定しない場合においては、攻撃者が必ずしも有利ではないケースがたくさん見られる。それに、「なぜ攻撃側が有利か?」という疑問に対する詳しい理由に言及している識者の発言や文章をあまり見かけず、納得し切れていない方が多いのではないかと感じている。そこで今回は、サイバー攻撃において、なぜ「攻撃側が絶対的に有利」という話が前提となっているかについて述べていきたい。
「攻撃3倍の法則」
筆者はサイバーセキュリティ業界に身を置いて十数年が経つ。現在は「攻撃側が絶対的に有利」という話に納得しているが、十数年前はこの話を聞いてもすぐには納得できなかった。そのわけは、「攻撃3倍の法則」というものを以前から知っていたからだ。
この法則は、「戦闘において有利な攻撃を行うためには相手の3倍の兵力を必要とする」というものだ。つまり、世の中には「防御は攻撃よりも有利な戦闘形態である」というサイバー攻撃の常識とは正反対のロジックが存在する。
サイバーではない戦場においては、ほとんどの場合で攻撃側は敵地まで遠征する。敵の勢力圏内には、要地であれば砦や城などがあり、攻撃側は必要に応じて攻略し、すぐに攻略できなければ包囲などを行う。要は防御側に地の利があることが多く、攻撃側によほどの士気や装備レベルの優位性がない場合を除き、攻撃側の兵力が防御側と同数では、確実な勝利はおぼつかない。もちろん、勝ち負けは時の運の要素も多いので一概に言えない部分も多いが、基本的に「攻撃側が有利」な要素はほとんどない。
また、戦闘に勝利する前提条件も攻撃側と防御側では異なる。防御側は相手の攻撃を跳ね返せば勝利となるが、攻撃側は相手の戦闘力を撃破(戦闘力の無力化または降伏させる)しなければならない。戦闘力の撃破とは、言うのは簡単だが、相手の最も強靭(きょうじん)な場所(本丸や本部)を陥落させなければならないから、実行するのはなかなか難しい。しかも、防御側の士気が旺盛で玉砕覚悟のような状況だと、一筋縄ではいかない。
このように物理的な世界における攻防では、無抵抗な人への一方的な暴力などを除き、ほとんどの場合は防御側が有利になる。
