編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」
企業セキュリティの歩き方

「サイバー攻撃者が絶対優位」という常識は信用してよいのか?

武田一城 (ラック)

2020-02-10 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 セキュリティ対策をどれだけ実施したとしても、猛威を振るうサイバー攻撃に対して追い付くことはできず、対策のゴールに到達することは困難だ。その理由は、攻撃手法の進化や巧妙化、ITの進化が早く、コンピューティングの範囲もどんどん拡大していることなど挙げれば切りがない。そんなサイバー攻撃について、セキュリティ対策をしているベンダーや識者などから「サイバー攻撃は攻撃側が絶対的に有利」だという話を聞くことが多い。

 本連載の読者も、このような話を一度は聞いたことがあるのではないだろうか。筆者もその内容にはほぼ同意するが、実はサイバー攻撃に限定しない場合においては、攻撃者が必ずしも有利ではないケースがたくさん見られる。それに、「なぜ攻撃側が有利か?」という疑問に対する詳しい理由に言及している識者の発言や文章をあまり見かけず、納得し切れていない方が多いのではないかと感じている。そこで今回は、サイバー攻撃において、なぜ「攻撃側が絶対的に有利」という話が前提となっているかについて述べていきたい。

「攻撃3倍の法則」

 筆者はサイバーセキュリティ業界に身を置いて十数年が経つ。現在は「攻撃側が絶対的に有利」という話に納得しているが、十数年前はこの話を聞いてもすぐには納得できなかった。そのわけは、「攻撃3倍の法則」というものを以前から知っていたからだ。

 この法則は、「戦闘において有利な攻撃を行うためには相手の3倍の兵力を必要とする」というものだ。つまり、世の中には「防御は攻撃よりも有利な戦闘形態である」というサイバー攻撃の常識とは正反対のロジックが存在する。

 サイバーではない戦場においては、ほとんどの場合で攻撃側は敵地まで遠征する。敵の勢力圏内には、要地であれば砦や城などがあり、攻撃側は必要に応じて攻略し、すぐに攻略できなければ包囲などを行う。要は防御側に地の利があることが多く、攻撃側によほどの士気や装備レベルの優位性がない場合を除き、攻撃側の兵力が防御側と同数では、確実な勝利はおぼつかない。もちろん、勝ち負けは時の運の要素も多いので一概に言えない部分も多いが、基本的に「攻撃側が有利」な要素はほとんどない。

 また、戦闘に勝利する前提条件も攻撃側と防御側では異なる。防御側は相手の攻撃を跳ね返せば勝利となるが、攻撃側は相手の戦闘力を撃破(戦闘力の無力化または降伏させる)しなければならない。戦闘力の撃破とは、言うのは簡単だが、相手の最も強靭(きょうじん)な場所(本丸や本部)を陥落させなければならないから、実行するのはなかなか難しい。しかも、防御側の士気が旺盛で玉砕覚悟のような状況だと、一筋縄ではいかない。

 このように物理的な世界における攻防では、無抵抗な人への一方的な暴力などを除き、ほとんどの場合は防御側が有利になる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]