Scribble at 2022-02-16 17:07:39 Last modified: 2022-02-17 10:00:31

悪党と同じレベルの知識や技術や狡猾さや忍耐力があれば、情報セキュリティ・エンジニアの仕事はできる（皮肉なことだが、実は情報セキュリティにおいてスキルを図る基準は「犯罪者がやったこと」である）。これは、一見すると分かりにくいかもしれないので、丁寧に説明しておく。（もともとは違う落書きで書いたことだが、その落書きは非公開にしたので、独立した文章として編集しなおした。）

情報セキュリティにおいて防御側のエンジニアのスキルを評価するには、彼が防御を担当している何らかのシステムなりオンライン・サービスなりサーバが順調にサービスを提供していたり稼働しているというだけでは不十分である。そんなことは、彼が何もしないどころか誰も手をつけていなくても、攻撃者が全くいなければ起きうる結果だからだ。よって、実際に攻撃を受けることによってしかエンジニアのスキルは証明できない。しかし、攻撃を受けて成功してしまえば、そのシステムは破壊されたりサービスは停止してしまうので、エンジニアには防御する十分なスキルがないということになる。

では、防御するスキルがあることを示すにはどういう条件が必要なのか。これは、攻撃のパターン A について防御のパターン A´ を実施して攻撃が成功しなかったという結果でしか証明できない。もし、防御側が知らない攻撃パターン B が実行されたら、未知のパターンであるから攻撃はたいてい成功するわけで、これでは当然ながら防御できるというスキルを証明することはできない。つまり、犯罪者が過去に実行した攻撃のパターンに彼が対応できるかどうかでしか証明できないのだ。

もちろん、未知のパターン B で攻撃されたという結果から彼が学んで、次に攻撃されても防御できるパターン B´ を編み出したということが彼のスキルの証明になるのは確かだろう。しかし、それはつまりホワイト・ハッカーのスキルを証明する方法は常に後手であり、結果論なのだという話である。もしプロアクティブな防御のパターンとして C を考案した人材がいたとしても、それが防御として十分であるかどうかは、システムが安全な状況（いわんやシステムが攻撃されてもいない段階）では証明のしようがない。しかし、攻撃側がパターン C を検知して何らかの対策を打って攻撃してきたときには、攻撃側は自分たちのテスト環境で予行演習をしたうえで攻撃してくるわけなので、恐らくパターン C は無効にされる可能性が高い。よって、プロアクティブな手法も、それを考案するだけでは防御のスキルがあるという証明にはならないわけである。（つまり、既存のあれこれの攻撃手法に防御できる性能がパターン C にあるというだけでは、既存のスキルを超える能力をもつとは言えない。攻撃側が、パターン C を考案した人物以外の人々にとって未知の攻撃を仕掛けてきても対応できるかどうかがパターン C の評価を決めるのだ。）