編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
企業セキュリティの歩き方

「サイバー攻撃者が絶対優位」という常識は信用してよいのか?

武田一城 (ラック)

2020-02-10 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 セキュリティ対策をどれだけ実施したとしても、猛威を振るうサイバー攻撃に対して追い付くことはできず、対策のゴールに到達することは困難だ。その理由は、攻撃手法の進化や巧妙化、ITの進化が早く、コンピューティングの範囲もどんどん拡大していることなど挙げれば切りがない。そんなサイバー攻撃について、セキュリティ対策をしているベンダーや識者などから「サイバー攻撃は攻撃側が絶対的に有利」だという話を聞くことが多い。

 本連載の読者も、このような話を一度は聞いたことがあるのではないだろうか。筆者もその内容にはほぼ同意するが、実はサイバー攻撃に限定しない場合においては、攻撃者が必ずしも有利ではないケースがたくさん見られる。それに、「なぜ攻撃側が有利か?」という疑問に対する詳しい理由に言及している識者の発言や文章をあまり見かけず、納得し切れていない方が多いのではないかと感じている。そこで今回は、サイバー攻撃において、なぜ「攻撃側が絶対的に有利」という話が前提となっているかについて述べていきたい。

「攻撃3倍の法則」

 筆者はサイバーセキュリティ業界に身を置いて十数年が経つ。現在は「攻撃側が絶対的に有利」という話に納得しているが、十数年前はこの話を聞いてもすぐには納得できなかった。そのわけは、「攻撃3倍の法則」というものを以前から知っていたからだ。

 この法則は、「戦闘において有利な攻撃を行うためには相手の3倍の兵力を必要とする」というものだ。つまり、世の中には「防御は攻撃よりも有利な戦闘形態である」というサイバー攻撃の常識とは正反対のロジックが存在する。

 サイバーではない戦場においては、ほとんどの場合で攻撃側は敵地まで遠征する。敵の勢力圏内には、要地であれば砦や城などがあり、攻撃側は必要に応じて攻略し、すぐに攻略できなければ包囲などを行う。要は防御側に地の利があることが多く、攻撃側によほどの士気や装備レベルの優位性がない場合を除き、攻撃側の兵力が防御側と同数では、確実な勝利はおぼつかない。もちろん、勝ち負けは時の運の要素も多いので一概に言えない部分も多いが、基本的に「攻撃側が有利」な要素はほとんどない。

 また、戦闘に勝利する前提条件も攻撃側と防御側では異なる。防御側は相手の攻撃を跳ね返せば勝利となるが、攻撃側は相手の戦闘力を撃破(戦闘力の無力化または降伏させる)しなければならない。戦闘力の撃破とは、言うのは簡単だが、相手の最も強靭(きょうじん)な場所(本丸や本部)を陥落させなければならないから、実行するのはなかなか難しい。しかも、防御側の士気が旺盛で玉砕覚悟のような状況だと、一筋縄ではいかない。

 このように物理的な世界における攻防では、無抵抗な人への一方的な暴力などを除き、ほとんどの場合は防御側が有利になる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]