サイバーセキュリティの教科書

サイバーセキュリティの教科書

2025, Nov 30    

原著のタイトルは「Making Sense of Cybersecurity」、つまり「サイバーセキュリティのセンスを作る」と訳せるでしょうか。筆者の言う「センス」とは以下の3つを指します。

  • 適切さ
  • バランス
  • 持続可能性

セキュリティはとことん突き詰めようとすれば際限がなく、費用も青天井になりがちです。また、大企業と中小企業では、従業員数や保有する情報資産、取引先の数、そして何よりかけられる予算が全く異なります。 そのため、自社にとって適切な規模の対策をバランスよく行わなければ、セキュリティ対策自体を持続することができません。

特に「持続可能性」は重要です。セキュリティ対策は、テンプレートに従って一通りのドキュメントを作成し、ツールを導入したら「あとは放置」というわけにはいきません。対策は日々の活動の中で劣化し、その間にも新たな脅威が登場してきます。「セキュリティ担当、また同じことやっているのでは?」と周囲から疑惑の目を向けられつつも(?)、繰り返しの活動を継続しなければならないのです。

エンタメと実在のハッカーたち

本書の内容は基本的ですが、単なる知識の羅列ではなく、読者の興味を惹くような構成になっています。 例えば、映画『ウォー・ゲーム』(米軍のセキュリティの脆さを知らしめ、各種対策や法律制定に影響を与えた話題作)や『スニーカーズ』、書籍『ハッカーを追え』など、コンピュータ普及期にセキュリティ問題を突いたエンタメ作品が紹介されています。 情報を盗み、売りさばき、暴露するエピソードは、決してエンタメ世界だけの架空の話ではありません。本書では実在のハッカーについても触れられています。

  • 世界で初めてワームを作成し有罪判決を受けたロバート・T・モリス。
  • 米国史上最高のハッカーといわれるアルバート・ゴンザレス(執筆時点では服役中でしたが、Wikipediaによると2023年に釈放されたようです)。
  • かつてAnonymousに所属し、懲役124年(!)の判決から司法取引を行い、FBIと協力してホワイトハッカーとなった”Sabu”ことヘクター・モンセガー。
  • 数々の脆弱性勧告やパスワードクラッキングツールの開発で知られる伝説的ハッカー、”マッジ”ことピーター・ザトコ(Twitterのセキュリティ責任者も務めました)。
  • ソーシャルエンジニアリングを使いこなし、「公衆電話に口笛を吹くだけで核戦争を引き起こす能力がある」とまで言わしめた口先の魔術師ケビン・ミトニック。
  • そしてご存じWikileaksのエドワード・スノーデン。

これら紹介されている実在ハッカーについてネットで調べてみましたが、非常に興味を掻き立てられる内容でした。

「いつ受けるか」という前提に立つ

現代では、ネットワークに接続されたコンピュータは日常のあらゆる場所に入り込んでいます。スマホはもちろん、冷蔵庫や自動車ですらインターネットにつながっており、私たち一般人を標的としたサイバー攻撃も行われています。

本書ではサイバー攻撃は「受けるかどうか」ではなく「いつ受けるか」の問題であると説きます。残念ながら「うちは大企業ではないから大丈夫」とはなりません。最近の調査でも、中小企業に対するサイバー攻撃は増加の一途をたどっています。 そこで重要になるのが、「サイバー攻撃を受けた時に適切に対応できるか」です。

サイバーセキュリティの3大要素である、

  • どのような資産を保有しており
  • 誰が攻撃を仕掛けてきて
  • どのような防御策を講じているか

これらが企業内で認識されているかどうかが、攻撃を受けた際の対応スピードや正確性に大きく影響します。 これらを効率よく調査・対応する方法はIPAのような公的機関でも考案されており、1つ目は「情報資産台帳」、2つ目・3つ目は「リスクアセスメントの実施」で対応できます。私も会社で利用していますが、「どんなリスクがあるか」の解像度を上げるために「誰が」という観点を入れることで、リスクアセスメントがよりクリアになると感じました。

攻撃者の視点を持つ

本書は、ハッカー(システムに攻撃し、侵入する側)の立場から、どのように攻撃が行われるかを紹介しています。 会社のネットワーク構成図を作る理由は自己満足ではありません。「私たちがハッカーならば、どういう方法で攻撃してくるだろう?」と考え、各コンポーネントへの攻撃難易度と攻撃可能性を見積もるためです。

とはいえ、本書にあるようにファイアウォールを複数用意してネットワークをセグメント化することは、単一障害点を無くす代わりにコストが2倍、3倍に増えてしまいます。これは小さな会社にとっては、「バランスが良い」とは言えないでしょう。

また、リスクは外部だけでなく内部犯行も考慮する必要があります。データ侵害の15%は合法的に許可されたユーザによる攻撃というデータもあります。すべての通信を信用しない 「ゼロトラスト」の考え方は、内部犯行がなされた場合の爆発半径(被害範囲)を小さく収めるためにも有効です。

学びと「セキュリティ文化」

本は分厚いですが、図が多く用いられており分かりやすかったです。 SQLインジェクションやXSSについては今更新たに得るものはありませんでしたが、モバイルとSMSにページが割かれている点は、ハードウェアやインフラ層のリスクに疎い自分にとって有難い内容でした。

例えば、USB端子(ポート)がデータ線と電力線で構成されていることは初めて知りました。「あ、充電用USB端子あるじゃん、使わせてもらおう」と挿したら、偽装されたハードウェアによってデータを抜き取られた……なんて、まるで推理小説のトリックのようなこともあり得るのです。

また、CVEおよびCVSSについても詳細な解説があり、これまでスコアしか見ていなかった自分にとって新たな発見がありました。CVSSを自分の環境に合わせてカスタマイズすることで、そのCVEが自社にとって実際にどれほどの影響を与えるかを考慮できます。 さらに、サイバーセキュリティの歴史を学ぶ中で目にするビル・ゲイツのメモ「信頼できるコンピューティング」の原文も、この本のおかげで見つけることができました(過去記事で紹介済みです)。

本書が説くのは 「セキュリティ文化」です。 この本で学んだ概念とスキルを使い、対策を「適切に」「バランスよく」「持続して」行うことで、仮に攻撃を受けたとしても金銭的損失を抑えることができます(残念ながらゼロにはできません)。

  • 自社には顧客情報があり、絶えず攻撃の危険に晒されていることを全員が認識すること。
  • 一人ひとりが対策メンバーであると自覚すること。

これらが重要です。一方でセキュリティ担当者は、事故が起きた際に一般従業員のせいにせず「組織の問題」と捉え、パスワードマネージャの導入やMFA(多要素認証)の必須化など、コストをかけて仕組みを整える必要があります。「意識して」「気をつけて」だけでは対策になりません(分かってはいるのですが……)。

ダークウェブの真実

この本で最も興味をそそられたのは、ダークウェブについて書かれた章です。最近はニュースでも聞くようになりました。「ダークウェブという、一般人がアクセスできない場所で個人情報などが売買されている」と。 私はこれまで「アクセスできない」=「検索エンジンに引っかからない」という意味だと思っていたのですが、本書によると 「TCP/IPの上に構築された、TLS, SMTP, FTP, SSHなどと並列の存在である”プロトコル”」 と定義されています。

ダークウェブの根幹となるネットワークを構成する中継サーバは、ユーザの通信を何重にも暗号化し、玉ねぎの皮のように複数のリレーを経由させることで発信元を匿名化します。この技術を 「オニオンルーティング」 と言います。 この匿名ネットワークを「TOR(The Onion Routing)ネットワーク」と呼び、これを利用するために開発されたのが「Torブラウザ」(Firefoxベース)です。

つまり、TORという技術そのものやTorブラウザ自体は悪いものではありません。善意の運営者が利用している場合もあれば、悪意ある人が運営している場合もあります。ダークウェブとは、Torネットワークの中でも、通常のブラウザではアクセスできない違法な活動が行われている領域と定義づけられます。 このネットワーク内には、掲示板・電子メール・Webホスティングのようなサービスが存在しますが、他のダークウェブや”通常の”ウェブとは繋がらないようになっています。

この本の中では「TORネットワーク」という言葉ではなく「ダークネット」という言葉が使われています。しかし自分は匿名性の高いネットワークの技術根幹である「TORネットワーク」と、犯罪の温床として使われる「ダークネット」は異なるモノと考えており、以降の説明文でも書籍内の「ダークネット」という言葉を「TORネットワーク」に置き換えて解説します。

本書では、実際にTorブラウザをダウンロードしてネットワークにアクセスする方法も紹介されています。 Torネットワークには、ジャーナリスト向けのサイトやプライバシー重視のサービス、あるいは検閲・監視国家に住む人々が自由に情報交換するためのコミュニティもあります。Tor自体は技術であり、そこに善悪はありません。「悪用している人間がいる」ということなのですね。

「ダークネット」という言葉は、もともとインターネット黎明期に「通常のネットワークから直接アクセスできないプライベートなネットワーク」を指す言葉だったそうです。しかし、その匿名性が犯罪に利用されることで、「ダークネット=犯罪の温床」というイメージが浸透しました。 実際には、中国のグレート・ファイアーウォール(金盾)による検閲をかいくぐり(※公開されていないIPアドレスを使ってTorへアクセスする技術があるとのこと)、独裁政権の人権侵害を告発するためにも使われています。 その一方で、盗難財務情報がビットコインなどの匿名通貨で売買され、パスポートが高値で取引されているのも事実。普段は見ることのない、少し危ないインターネットの世界を覗き見ることができました。

Twitter Facebook Google+
# security