編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内
企業セキュリティの歩き方

セキュリティ対策でよく使われる「孫子の兵法」の例えと活用法

武田一城 (ラック)

2021-08-30 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回は、一般の人になじみがない「サイバー攻撃者視点」について述べた。この視点をイメージできないからセキュリティ対策が進まないのではないかというのが筆者の仮説である。今回は、セキュリティ業界の有識者などがしばしば例える戦略論や故事に触れながら、筆者の懸念について述べる。

サイバーセキュリティで使われる例え話

 サイバー攻撃を受けても、それが目に見えない、被害にすら気づかないこともある。だからこそセキュリティ業界の有識者は、サイバー攻撃の脅威を具体的に理解してもらおうと、講演や執筆などの機会に、歴史や戦争などに例えることが多い。

 筆者も実はこの手法を多用している。以前には、第二次世界大戦中の日本の戦艦「大和」が持つ防御用隔壁の構造を例に、サイバー攻撃を受けても被害を限定的にするネットワーク分離の効果を説明したことがある。その他にも、マンガやアニメを題材に多層防御の仕組みやセキュリティ意識の持ち方を解説したり、日本の城郭の防御構造を題材に守りやすいITにする重要性を述べたりしてきた。

 これらは必ずしも万人受けするものではないが、サイバーセキュリティの啓発では、例え話を織り交ぜるしかない。目に見えないサイバー攻撃対策の重要性や守るべきシステム基盤の構造を理解するには、目に見える物理的な事象で説明するしかないのだ。場合によっては、「かなり無理なこじつけをするな……」と指摘を受けることもあるが、正直ほかに方法がないからそうしている面も少なからずある。

セキュリティの例え話でよく使われる「孫子の兵法」

 セキュリティ業界の識者がよく使うと思われる例え話が、「孫子の兵法」からの引用だ。セキュリティ対策セミナーと呼ばれるものに参加したことのある人なら、何度か聞いたことがあるだろう。

 「孫子の兵法」の引用がなぜ多いかというと、組織的な攻撃や防御を行う戦争のやり方や考え方について、古くからある有名なものだからだ。戦略論という非常にややこしいものが身近になっているのは、これ以外にはなかなかない。しかも、内容はきちんと体系化され、非常に網羅的だ。少なくとも原理・原則論としては非常に的確なものだろう。現在でも軍事はもちろん経営戦略論として使っても問題なく利用できるほどだ。

 「孫子の兵法」は、中国の春秋戦国時代に活躍した武将・思想家の孫武(紀元前535年~?)が紀元前5世紀半ばごろに記したとされ、2500年以上を経た現在でもその内容は評価され続け、世界各国の軍事組織などで研究が続いているという。この書の愛読者は、Microsoft創業者のBill Gates氏やフランス皇帝のナポレオン1世などなどそうそうたる面々が多い。三国志で有名な曹操は、部下の将軍たちに配っていたというほどの戦略分野の良書と言える。

 「孫子の兵法」には数多くの名言が書かれているが、中でも「兵は詭道なり」という言葉は「戦争とはだまし合い」そのものだという、戦闘実施の前に戦略や戦術の根本を述べている。また、「百戦百勝は善の善なる者に非(あら)ず」という言葉は、一見最高の結果に見える百回戦って百回勝利することが実は最善ではなく、戦わないことがむしろ最善だと述べている。

 この言葉は、リスクマネジメントはもちろん、国家運営に関わるマネジメント全体のことを示している。戦う以上はどれだけ有利でも敗戦のリスクを伴う上、少なからず戦闘のためのリソースを消耗してしまう。だからこそ、戦う状況に陥らないこと自体が最高の結果だと述べている。

 これらは、まさにその通りと言うしかない。「孫子の兵法」は哲学書ではなく戦う方法論を述べた実践的な書物だが、これが2500年以上に渡って多くの人々に読まれ続けている理由なのだろう。

 サイバー攻撃やセキュリティ対策について「孫子の兵法」からの引用で最も多い名言は、「彼を知り己を知れば百戦して殆(あや)うからず」だろう。この言葉は一般常識としても有名であり、セキュリティ対策を考える時の状況として最も適した言葉といえる。これは、「敵の実情を知り、自分自身の実情を知っていれば、百戦しても負けることはない」という意味だ。

 百戦百勝ではなく百戦して負けないというのが、本質かもしれない。サイバー攻撃は、戦っても勝つことがまずない。そのため、敵と自分自身を知り尽くすことで負けないというのが、セキュリティ対策の考え方にとても適合する。

 サイバー攻撃の対策は、攻撃者がどのような手を繰り出してくるのか事前に想定しておくことが非常に重要だ。そして、敵(の攻撃手法)を知れば、それを妨害し、成功させなくできる。敵の行動を嫌がらせするだけでも十分な場合すらある。負けないために必要なことを積み上げるのが、セキュリティ対策にとって重要なのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]