GRCコラム

忍者2017.8.22

~サイバーセキュリティ時代における忍者とは~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

前回に引き続き、時代劇からセキュリティの話です。 時代劇といってもいろいろあるわけですが、戦国時代から江戸時代中期あたりを舞台にした時代劇には忍者が出てくるものがあったりします。また、忍者が主役の時代劇である「忍者もの」といわれるジャンルがあったりします。今回はこの「忍者」について考えてみましょう。

<忍者は人気者>

さて、忍者は、非常に人気があります。実際、忍者が主役の作品は多いのです。時代劇としては小説、TV・映画実写作品だけでなく、漫画、アニメ、特撮などありますが、忍者が主役の作品はたくさんあります。また、日本だけでなく海外でも忍者は人気があり、忍者が出てくる外国映画やアニメ、TV番組もあります。実際、海外で「俺の先祖は忍者だ」とか「日本人は実は全員忍者だ」とかいうと、日本を良く知らない人には受ける場合もあったりするくらい、日本に関連するキーワードとして「忍者/Ninja」は人気です。
で、なぜ人気か、というと分かりやすく言うと「忍術スゲー」なんです。すごいジャンプで壁とかを飛び越える、水に潜るならまだしも土にも潜れる、いろんな武器を使って敵を倒す、という形で普通の人にはとうていできないようなことをいろいろな「忍術」を使ってやってしまいます。実際の時代劇の中でも、忍者が出てくる場合はこういった忍術とほぼセットで出てきますし、忍者同士が戦う時代劇だと忍術がばんばん出てきますし、作品によっては必殺技になっている忍術なんかもあったりします。そして、それが「人間が修行した結果」であり、「修行すれば自分もなれるかも」ということなのかと思っています。

<忍者は何をしている?>

では、時代劇の中で忍者が何をしているか?という点ですが、忍者同士がとにかく戦うとかといった作品ですと、異なる忍者のグループ、有名なところだと伊賀、甲賀、真田忍軍など、超有名漫画なんかだと「○の国/○○隠れの里」という呼び名がついてますが、こういうグループ間で忍術を駆使して戦いあうわけです。が、こういうのはちょっと脇に置いておくと、忍者というのは傭兵のようなもので、通常は将軍家やどこかの大名・武将に仕えたり雇われたりします。そして、その命令にしたがって、潜入、情報収集、破壊工作、重要物品の奪取、要人暗殺等を行うわけです。例えば、お城に潜入し天井裏等に潜んで殿様と家臣の会議の情報を盗聴する、とか、将軍から頂いた大事な「モノ」を盗む、ですね。任務の途中で敵に見つかって敵の侍との闘いが始まると、忍術を使う、というのが定番だったりするわけです。
ここで「城への潜入」ということを考えてみると、前回のコラムでも書いておりますが、城のほうにもいろいろ対策がされており、そう簡単には侵入ができないようになっていますし、侵入者を発見しようとしているわけですので、それらをなんとかすり抜けて潜入しなくてはいけないわけです。そこで、忍術が登場するわけです。堀の水中に潜ったり、大きな凧に乗ったり、壁に見える布の後ろに隠れたり、果ては鳥に化ける、といったものまでいろんな忍術があったりします。こうして忍術を使って、いろんな任務を行うわけです。

<ハッカーはサイバーセキュリティ時代の忍者>

ということで、忍者は任務を行うわけですが、任務の対象側=潜入等が行われる側の大名・武将の側からすると、そういった忍者は「排除すべきもの=脅威」になります。
前回のコラムで書きましたが、お城における各種リスクを引き起こす「脅威」になるわけです。しかも、忍者は城に施されたいろいろなセキュリティ対策を通常ではありえない方法=忍術を使ってすり抜けて侵入して、任務を遂行しようとします。
そう考えると、忍者というのは通常の者では遂行不可能な任務の実行に必要な技術を持った者であり、現在のサイバーセキュリティの世界でいうならば、ハッカーにあたるわけです。
現在のサイバーセキュリティでのハッカーの中にも有名人・有名なグループがあったりします。「アノニマス(anonymous)」はそういったハッカー集団として有名ですし、BlackHatやDEFCONといったイベントにはそういったハッカーが参加していたりします。また、最近流行りのCTF(Capture The Flag)イベントは、そういうハッカー/ハッカー候補のための技術競技会として開催されています。彼らはどこかに雇われることなく活動することもありますし、人によっては特定の企業・政府機関に雇われて活動していることもあります。

<一般企業は「忍者」をどう使うべきか?>

さて、サイバーセキュリティ時代の忍者であるハッカーを一般企業としてはどう付き合うべきなのでしょうか?時代劇の中では大名・武将が忍者を使って敵の潜入・盗難・破壊などの行為を行わせていたわけですが、現代の企業がハッカーを使って敵の企業にそのような行為を行うのは、当然ながら不法・違法行為になるわけですから、やってはいけないのです。また、外部から攻撃を受けたときにハッカーが役に立つか?というと、そのハッカーが現実的な防御のための知見も「偶然」持っていれば対応可能かもしれませんが、ハッカーが持つ「忍術」は潜入・攻撃のための技術が主であり、システム全体としての防御を構築する技術や、攻撃への対応(インシデント対応)技術・スキルとは少し違い、ハッカーの技術は役には立つが十分ではないことが多いと思われるのです。
そうすると、脆弱性診断や不正侵入検査として自社のシステムに対してハッキングを仕掛けてもらい穴を探すという使い方が一般的になるわけです。また、ソフトウェアパッケージを作っている会社であれば、ソフトウェアのバグを探してくれる協力者として付き合う方法もあり、「Bug Bounty Program(バグ報奨金制度)」を行っている会社もあります。こういったことに協力するハッカーは「ホワイトハッカー」と呼ばれる訳ですが、こうした「ホワイトハッカー」を自社で雇うか、「ホワイトハッカー」を雇っているセキュリティベンダー等に不正侵入検査等を契約して対応してもらう、ということになるのでしょう。

<必要なのは「忍者」ではなく・・・>

このように考えると、一般企業のセキュリティ担当者として必要なのは「忍者」ではなく、忍者の攻撃を含むいろんな攻撃からの防御を考え、構築する人であり、それらの攻撃があった場合の対応を考え・実行する人になるわけです。

でも、やっぱり「忍者」とか「ハッカー」というと格好良いので、そちらに注目が集まっちゃうんでしょうね。

GRCコラム一覧へ

pagetop