軍事戦略に学ぶ、攻撃者の思考を逆手に取る4つの視点
「サイバーセキュリティは難しい」「専門用語ばかりでよく分からない」
そう感じている経営者や管理職の方は少なくないでしょう。日々報道されるサイバー攻撃のニュースは危機感を煽る一方で、何から手を付ければよいのか分からなくさせます。
しかし、サイバーセキュリティを純粋な技術問題として捉えること自体が、実は大きな誤解かもしれません。
情報処理推進機構(IPA)が公開している情報(戦いの原理・原則とサイバーセキュリティ)では、サイバーセキュリティを「人間同士の戦い」として捉える重要性が指摘されています。そこには明確な敵(攻撃者)と味方(防御側)が存在し、目的を巡って攻防が繰り広げられているのです。
本記事では、軍事戦略の考え方をヒントに、ITコンサルの視点から実務に活かせる4つの考え方をご紹介します。
視点1:攻撃者は破壊者ではなく「合理的な経済学者」
サイバー攻撃者は、無差別に破壊を楽しむ存在ではありません。多くの場合、彼らはコストとリターンを冷静に計算する合理的な存在です。
「どれだけ簡単に実行できるか」「どれだけ利益が見込めるか」「発覚するリスクはどれほどか」。これらを天秤にかけ、最も効率的な手段を選びます。
国家支援型の攻撃者は特定されるリスクを極端に嫌い、犯罪グループは費用対効果を最優先します。つまり、敵の正体によって脅威の質は大きく異なるのです。
自社にとっての現実的な敵は誰なのか。この問いが、戦略の出発点になります。
視点2:最も狙われるのは「ゼロデイ」ではなくログイン情報
高度なハッキング技術よりも、現実の攻撃で圧倒的に多用されているのが正規のID・パスワードの悪用です。
正しい認証情報を使われてしまえば、多くのセキュリティ対策は「正当なアクセス」として通過させてしまいます。
さらに、アカウント情報は低コストで入手でき、検知されにくく、さまざまな攻撃段階で使い回せるため、攻撃者にとって、これ以上ないほど効率的な武器です。
「最新の脆弱性対策」よりも、「認証・権限管理の見直し」が優先される理由はここにあります。
視点3:ガイドライン遵守だけでは会社は守れない
NISTや業界ガイドラインは重要ですが、それらは業界全体を守るための汎用ルールです。
自社のビジネスモデル、保有データ、システム構成まで考慮して設計されたものではありません。
軍事戦略の古典『孫子』が説く「彼を知り己を知れば百戦殆うからず」は、サイバーセキュリティにもそのまま当てはまります。
自社が狙われる理由は何か、どこが弱点かを理解して初めて、意味のある対策になります。
視点4:防御とは「待つこと」ではなく主導権を握ること
セキュリティ対策は受け身になりがちですが、重要なのは主導権を握ることです。
攻撃を予測し、相手が嫌がる環境を先回りして作る。例えば、ハニーポットのような仕組みは、防御側が意図的に戦場を設計する「攻めの防御」と言えます。
ただ守るだけでなく、相手の行動を制限し、選択肢を奪う。それが現代の防御戦略です。
まとめ:サイバーセキュリティは経営戦略の一部である
サイバーセキュリティは、IT部門だけの課題ではありません。
「何を守るのか」「誰が狙ってくるのか」を考えることは、事業戦略そのものです。
自社にとっての守るべき資産は何か。
それを狙う現実的な敵は誰か。
この問いに向き合うことが、形だけの対策から脱却し、本当に意味のあるセキュリティ投資への第一歩となるでしょう。
当事務所でも疑似攻撃による脆弱性検査・侵入検査を実施しております。簡単に侵入できる状態になっていないか、この機会に診断してみてはいかがでしょうか。
脆弱性検査・侵入検査の依頼はこちらから
中小企業診断士/ITストラテジスト/情報処理安全確保支援士。
確かな知識と実務経験を元に、役立つ情報を随時発信中。
