天下分け目の関ヶ原の戦いから学ぶセキュリティ対策の教訓

天下分け目の戦いとして、現在に至るまでさまざまな形で語り継がれてきた関ヶ原の戦い。この戦には、現在のサイバーセキュリティを考える上で示唆に富むヒントが多々含まれている。

先日「サイバー戦国絵巻：関ケ原合戦に学ぶサイバーセキュリティ」と題し、情報通信研究機構主席研究員の伊東寛氏とともに行った講演をベースに、2回に分けてこの戦いから得られる教訓を探ってみよう。

あの逸話は後世の作り話？　歴史に紛れるさまざまなフェイク

関ヶ原の戦いと言えば、家康の問鉄砲、それを受けた小早川秀秋の裏切り、島津の退き口など、多くのエピソードに彩られている。だが、その多くが後世の軍記物で語られるようになったもの、つまり「フィクション」だ。

近代以降の逸話も同様だ。明治時代、ドイツから日本陸軍の指導に来たメッケル少佐が関ヶ原の布陣図を見て、一言「これは西軍の勝ちだ」と言ったというエピソードがまことしやかに語られている。しかし調べてみると、現代的な作戦図が生まれたのはメッケル少佐の来日よりも後のことであり、これまた後世の脚色ではないかという説もある。

そもそも歴史自体、基本的には「勝者」によって語られてきたもの。フェイクニュースや世論誘導、情報操作はずっと行われてきた、と言ってもいい。

実は講演にあたって、最近話題の「AI絵師」に「関ヶ原の合戦を書いてほしい」と命じてみた。すると、ほんの1分でなかなか雰囲気をつかんだ絵が出来上がったが、よく見ると、戦場にあるはずのない「神輿」まで描かれていた。AIは大きな力を持つが、人間から見ればあり得ない基本的な間違いもする。一方で、こうした技術がこの先も世論操作や情報戦に使われていくことも十分あり得ることを、頭に入れておく必要があるだろう。

• 「AI絵師」が描いた「関ヶ原の合戦」の様子。神輿が描かれているのが惜しい

多層防御で固めた「城」、正面から攻めるのは下策

関ヶ原の戦いを振り返ってみると、この戦いは文字通り「原」、つまり開けた場所で行われた。すぐ近くにあった「大垣城」をわざわざ出て戦いが行われたのだが、もし城攻めを行うとすればどのような手法が考えられるだろうか。

城攻めには主に5つの方法があり、それぞれ現在のサイバー攻撃になぞらえることができる。

• 「城攻め」の5つのパターンはサイバー攻撃になぞらえることができる

1つ目は「力攻め」。守る兵力の何倍、何十倍もの兵力で城を落とすやり方だが、あまり効率的とは言えない。例えば、関ヶ原の戦いに参戦すべく、多くの兵力を率いて中山道を西に向かった徳川秀忠は、上田城にこもった真田軍の10倍もの兵力を擁していたにもかかわらず苦戦を強いられた。力攻めは例えるならば、DDoS攻撃などトラフィックの力に頼るやり方だが、攻め手側も多くのリソースを消耗するものとなる。

2つ目は「水攻め」。この手法はかつて豊臣秀吉が備中高松城を落とすために用いたことで有名だ。城の周囲をぐるりと土塁で取り囲み、水を流し込んで孤立させる。城内には湿気が立ち込め、食べ物も腐り、兵士の士気は大いに低下する。これは、Active Directoryなどに侵入した後にネットワーク内にワイパーやランサムウェアをばらまき、大規模に破壊をほどこす攻撃に例えられる。

3つ目は「兵糧攻め」で、これも豊臣秀吉が用いた三木城や鳥取城に用いた例が有名だ。鳥取城を落とす際に秀吉は戦いが始まる前から、その地域のコメを相場よりもずっと高い値で買い占めた。さらに、周囲の農民も追い込んだ上で城を数カ月囲み、白旗を揚げさせた。やや強引かもしれないが、これはサプライチェーンを絶つ攻撃に例えることができる。

4つ目は「奇襲」だ。奇襲と言えば、織田信長の桶狭間の戦いが有名だが、稲葉山城を落とす際にも使われている。相手に隙ありと見たら即攻め入り、不意を突くことで大きな戦果を上げるもので、まさにゼロデイ攻撃に例えることができるだろう。

ちなみに伊東氏によると、世界に目をむけると、悪意あるソフトウェアの1つである「トロイの木馬」の語源となったトロイア戦争も奇襲に含まれるとのことだ。

トロイの町を包囲していたギリシア軍は、戦いから引き上げると見せかけ、大きな木馬をトロイの町の門の前に置いていったん撤退した。トロイ側は勝利したと思い込み、木馬を町の中に引き入れ、宴を開いて祝ったが、その夜、木馬の中に潜んでいた兵士が飛び出し、町を内側から焼くことでトロイが落城した――という有名な逸話だ。無害なように見せかけてネットワーク内部に侵入し、侵害したり情報を盗み出す現代の「トロイの木馬」は、非常にうまい例えと言えるだろう。

城攻め最後の方法は「調略」となる。内通者を作ったり、本城の周りにある支城を寝返らせたりして孤立させ、降参に追い込むやり方で、小谷城の落城をはじめ、古今東西さまざまな物語がある。これをサイバーの世界に置き換えるならば、内部の人間をだましたり、何らかの対価と引き換えにシステム内部に悪意あるツールを設置したり、情報を持ち出させる「内部脅威」がまさに該当すると言えるだろう。

これら城攻めの方法にはそれぞれメリットとデメリットがあるが、攻める側として避けるべきはやはり「力攻め」だ。相手が守りを固め、待ち構えているところに正面から突っ込んでいっても、攻め手の損耗は大きくなるばかり。得るものに比べ失うものの方が多くなりかねない。こうしたことから戦でも、そして現在のサイバー攻撃でも、攻め手はやはり、水攻めや兵糧攻めのように、時間はかかるが味方の損耗が少ない手段を採用して成功を収めてきた。

また、城が外堀、内堀や櫓、縄張りの工夫などを凝らして守りを固めるのと同じように、現在のITシステムも、ファイアウォールやWAF、IDS/IPSやサンドボックス、アンチウイルスにEDRといった具合にさまざまな防御策を組み合わせ「多層防御」を実践している。相手の情報をもたらす忍者、つまり脅威インテリジェンスの活用も行われるようになった。

• セキュリティ対策と同様、城の防御は「多層防御」

ただ、だからこそ攻め手は、わざわざ城に攻め込まないで済む方法を模索してくる。挑発したり、味方を落とそうと見せかけたりして、攻め手にとって有利なフィールドへと引きずり出そうとするのだ。

これは今のITシステムに例えると、多層防御の中で守られたものを直接攻撃するのではなく、外にあるもの、例えばリモートワークを行っている端末やサプライチェーンでつながった中小企業をまず攻め、そこから本丸の相手を攻め滅ぼそうとするようなものだ。孫子や馬謖は「城を攻めるは下策」と言ったが、サイバー攻撃者は現在の世界においてまさにそれを実践している。

「制高点」を握るものが勝利するのは戦もサイバーも同じ

関ヶ原の戦いからは、もう一つ学びがある。戦況、つまり情報を握るものが戦いに勝つ、ということだ。

筆者が初めて伊東氏にお会いした際に、教えていただいた事柄の中に「制高点」という言葉がある。

関ヶ原の戦いに限らず、戦場では、大将は全体の戦況を把握できる場所に本陣を置くことが一般的だ。小高い丘でもいいので、戦場全体を見渡すことができる場所、つまり「制高点」を入手できるかどうかが、戦いの行方を左右した。

関ヶ原において、当初制高点を制していたのは笹尾山、松尾山、天満山に陣を構えた西軍側だった。一方東軍の徳川家康は、当初、桃配山というやや奥まった場所に陣を敷いていたが、それでは状況が見えないからと陣を前に進めたほどだ。

• 関ケ原の戦いにおける東軍と西軍の制高点

翻って、現代の世界における制高点とは何だろうか。かつて、陸上で戦いを繰り広げていた時には、少しでも高い場所が制高点だったが、飛行機の登場がその概念を変えた。爆弾を落とすという直接的な攻撃を加えられること以上に、上空から戦況をつぶさに把握できるようになったことが大きい。飛行機は「新たな制高点」となり、空は新たな戦場となった。新たな技術革新が制高点の定義を変えた、というわけだ。

そして20世紀後半から21世紀にかけて、宇宙、そしてサイバーの世界が新たな制高点となりつつある。物理的に有利に立つことができる制高点は宇宙で、情報的に有利に立つことができるのがサイバーだ。

今や、サイバーの世界を押さえることができれば、相手よりも多くの情報を得ることができ、指揮統制も容易になる。サイバー空間でしっかりとした地歩を固めることは新しい制高点を握ることと同義であり、だからこそサイバー空間は今、第五の戦場とも言われているのだ。

世界で経済や技術面での覇権争いが展開される中、制高点というポイントからサイバーの重要性を理解しておくことも重要と言えるだろう。