本稿は下記の記事を整理してアレンジを加えたものです。「大和」は、1940年8月に進水した世界最大の6万4000トンの基準排水量と、世界最大の18インチ(46センチ)砲を9門搭載した世界最大の戦艦である。しかし、「大和」はその世界最大の18インチ砲という攻撃力を持ちながら、結局は攻撃らしい攻撃をせずに沈んでしまった悲しい運命の戦艦となった。
今回は、二次大戦における戦艦の防御構造を掘り下げながら、情報セキュリティ対策について考える。
集中防御方式
「大和」の特徴は世界最大の主砲と大きさ(基準排水量)となるが、全く矛盾して「きわめて小さいことが特徴」と言われることもある。こう書くと何かの冗談か間違いのように聞こえるかもしれないが、これが「大和」の真実に近い。
その証拠に同じ時代のライバルとされる米国のアオイワ級は基準排水量4万8,500トンと、「大和」より1万5,500トンも少ないにも関わらず、全長は7メートル以上長い。「大和」と同じ18インチ主砲×9門を搭載する場合、一般的な設計にすると7万トンから8万トンほどにもなると言われる。このように「大和」は、極めて小さく作られた世界最大の戦艦という矛盾した要素を併せ持つ奇妙な存在なのだ。
「大和」が世界最大の大砲を装備しながら、大砲の口径などの仕様からすると、極めて小さな構造にできた秘訣は、「集中防御方式」を採用したことだ。この防御方式は、簡単に言うと火薬庫や主砲塔や機関部、司令官が居る艦橋などの重要な部分を集中して防御するため、コンパクトになる仕組みである。
戦艦は「自身と同じ威力の砲弾が当たっても大丈夫」というのが基本設計になるため、世界でこの18インチ砲弾を持つのは「大和」の他に、兄弟艦の「武蔵」しかなく、(16インチ以下の砲弾でも20km未満の近距離であれば効果があるが)戦艦同士の砲撃戦では圧倒的有利な状況だった。つまり、「大和」はコンパクトでありながら非常に防御力が高く、しかも、船自体が小さければ相手の攻撃を受ける的も小さくなるため、敵の攻撃を受けにくい特性も併せ持った優秀な防御(回避)力を持った戦艦だった。
コンパクトになれば艦自体の重量が減り、スピードが向上するし、スピードを出すための機関部も小さくできる。面積や体積が減れば、相手から的になる部分が小さくなり、攻撃を回避できるということになる。これは、情報セキュリティにもあてはまるだろう。企業はビジネスの競争力を確保するために絶えず新たなシステムを導入するが、その都度セキュリティ対策が必要になる可能性がある。セキュリティ対策のリソースは無限ではないし、既存システムでも攻撃手法の巧妙化などによって対策しなくてはならない範囲が拡大する。その拡大を何らかの手段で止められなければ、企業はコストに耐えられずに業績が沈んでしまう。
このような状況に陥らないためには、守るべきものを明確にし、それができるだけ外部からの攻撃に晒されないようコンパクトに、守りやすく、バランスのよい構造を作る。その上で堅い防御構造を作るという、集中防御がセキュリティ対策にも参考になる。
脅威分析
「大和」は、世界最大の18インチ砲による攻撃力だけでなく、防御力に優れていたことが分かる。これをセキュリティ対策として考えると、「大和」は戦艦同士の大口径の大砲の戦いに特化した防御構造を持ち、その攻撃手法で攻撃される場合なら、最強の防御力を誇るといえる。
しかし逆に考えると、「それ以外の攻撃手法の場合」には必ずしも万全ではないことを示している。実際には「大和」(兄弟艦の「武蔵」も)が米国の攻撃を受けて沈没しているので、完璧な防御構造ではなかったことが分かる。
「大和」が沈没したのは、日本が想定していた戦艦同士で砲弾を撃ち合う艦隊決戦に敗れたわけではなく、数百機の航空機による波状攻撃で大量の爆弾や魚雷を受けたことが原因だ。これは、どれだけ優秀な防御構造を持ったとしても、想定している攻撃と異なる攻撃手法では無効化されやすいことを示している。
しかし、この「大和」の運命を「時代の先を見通せなかった」と笑うことできないだろう。現在のサイバー攻撃は非常に盛んで、世界の大国同士が名指しで相手国を批判し合っているような状況にもあり、サイバー空間は、陸・海・空・宇宙に続く「第5の戦場」とまで言われる。
現代の日本は70年以上もの間、戦争を経験していない。しかし、サイバー空間では今この瞬間にも戦争の前哨戦と言ってもおかしくない状況が世界中で行われている。これは“見える場所”から“見えない”サイバー空間へ戦場が移っただけなのかもしれない。
結論として「大和」の最大の問題は、その機能や構造の欠陥ではなく、計画時に世界では一般的だった艦隊決戦が“想定外”になるという変化に対応できなかったことだ。艦隊決戦のための最大の強みが、竣工時点(真珠湾攻撃後の1941年12月16日)で時代遅れになり、航空兵器が主役となってしまった。これは、「大和」自身が航空機による攻撃によって沈没した事実が証明してしまった。
このように、セキュリティ対策でどれだけお金と手間隙をかけてその時点の想定される攻撃を全て回避できる防御構造を作ったとしても、現在の状況は航空機からの攻撃(「大和」の設計当時、航空攻撃で戦艦が致命傷を負うことはないというのが一般的だった)のような想定外の攻撃にはたやすく突破されてしまう。
以前は、ファイアウォールで防御壁を築き、それに加えて不正侵入の検知や防御が一定レベルできていれば、かなり有効なセキュリティ対策であった。しかし、攻撃側の手法が巧妙化して、どんどん攻撃力を高めていった結果、単一の機能だけで攻撃を防御できる状況ではなくなってしまった。
攻撃のノウハウは蓄積されていく。もはや標的型攻撃や特に「APT」と呼ばれるような、より高度な攻撃手法を使うまでもなく、攻撃側はOSやミドルウェアなどの既知の脆弱性をマニュアル化されたプロセスに沿って突くだけで簡単に突破できる。しかも、「大和」が受けた飛行機からの攻撃とは異なり、サイバー攻撃は“目に見えない”。攻撃を受けて企業や組織という“船”は致命的なダメージを受けているのにも関わらず、それに気づかないうちに沈没し、深海を漂っているような状況に陥っている。このような状況が方々で起きていないとは言い切れないのだ。
日本のセキュリティでも、これと同じ状況を見かける。それは、ほとんど想定しなくてよい脅威や攻撃手法に、それほど必要ではない対策にコストを費やしてしまう図式だ。運用方法が決まらず、攻撃を検知したときにどのように対処するかさえも決めずに、恐怖心を解消させる目的で製品やサービスなどを闇雲に導入してしまう。
その理由は、世の中で起きたさまざまな情報漏えい事件や事故などが本当に自分や自分の所属する企業でも起こり得るかどうかや、起こった時の被害や損失をあまり考えずに対策を施してしまうからであり、リスクマネジメントの考え方が浸透している欧米などの企業にはあまり見られない傾向だ。
これは欧米のように、常に異民族や侵略者から自分を守らなくてはならなかった民族と、日本のように大陸から適度に離れていて侵略が難しく、それながら交易などはできる絶妙な地政学的な立地条件に恵まれた民族の差なのかもしれない。恵まれていたがために、明確な敵や攻撃手法を想定する思考がどうしても鈍ってしまうのだろう。結果的に日本は、ただでさえ少ない大量の資源と時間と技術のリソースを、この戦争では最後まで発生しなかった戦艦が大砲を撃ち合うという攻撃手法への対策に結集してしまった。これは遠因だが、この「大和」の沈没から40年ほど遡る日露戦争の日本海海戦の大勝利という過去の成功体験が引き金になったことに他ならない。
いずれにしても優れた防御構造とは、明確に攻撃手法を定義し、その攻撃の効果をできるだけ少なくする構造だ。その方向性がずれてしまうと、「大和」のような悲劇が発生する。多くのリソースをかけて作ったシステムにおいても、攻撃されることを想定していなかった脆弱な箇所が狙われ、いとも簡単に突破されてしまう。
攻防バランスとリスク評価
攻撃と防御のバランスが取れていることは、「大和」の真骨頂と言える。建造に際して最も必須とされ性能は、世界最高の攻撃力を持つ18インチ砲だ。「大和」の防御力(や運動性能)とは、この攻撃力を生かすための副次的な要素とも言える。
これを情報システムに例えると、「大和」の主砲が基幹システムや情報系システムにあたり、最近だとAIやビッグデータ解析などの “攻めの経営”とも呼ばれる攻撃力の部分だ。そのシステム全体の中での防御とは、“攻めの経営”の意思決定や研究開発などで産み出した機密情報を守るためのセキュリティ対策となる。
そのためキュリティ対策は、企業や組織が攻撃力を存分に発揮できるために存在する。つまり、それだけの価値(「大和」の場合は攻撃力)があるからこそ多くのリソースや、時には守るために必要な運用制限を設けて防御策を作る。もしむやみに守るべき価値がない情報を守っているなら、経営の足をひっぱっているだけの可能性もある。
セキュリティ対策では重要なものを守るために、守るものを明確にしなくてはならない。企業で守るべきものは機密情報や顧客の個人情報などだ。それがシステムやサーバ、PCなどに散在している状況では守ることなどできない。管理者がどこに守るべき情報があるかを知らないのだから当然だ。
防御する範囲が小さくなれば守りやすくなる。防御を施すコストも抑えられるのが集中防御方式の最大の特徴である。集中防御のメリットはそれだけではなく、守る範囲を限定できれば管理も容易になり、万一誰かに侵入されたとしてもログ監視などを的確に行える。守るべき情報が的確に管理されていれば、その情報が漏えいする前に攻撃者の動きを封じ込められるだろう。
守るべきものが明確で守れる堅固な防御を作る。確実にセキュリティ対策が機能していることを、常に管理できるという効率的な仕組みが肝要だ。これが実現すれば、多少の被害は出ても、それに気づかずに手遅れとなり、船自体が沈むというような事態は防げるだろう。
多層防御
「大和」は沖縄特攻をめざす途中で沈没してしまったものの、防御構造が全く無力だったわけではない。沈没の直接的な原因は、米国海軍の非常に大規模だった波状攻撃に尽きるが、味方の航空機の支援がない状況としてはそれなりに耐えており、当時これだけの大規模な爆撃と雷撃を受けて沈まない艦船は世界のどこにもなかった。
コンパクトである以外にも、「大和」の防御構造でセキュリティ対策の参考になる考え方はいくつかある。それが「バルジ」だ。バルジとは、船体の外側にある中空の層であり、「大和」はその内部が内外2層に分かれ、さらに上下2層の区画に分かれていた。これは外部から攻撃を受けても被害(この場合は浸水)を一定の区画に限定させ、本来の装甲に到達する前に魚雷などの威力を減衰させる効果もある敵の攻撃力を弱める仕組みだ。
さらに、攻撃を受けて船体が傾いても、そこに圧縮空気を注入することで侵入した水の排水が可能だった。逆に(やりすぎるとむしろ沈みやすくなるが)船のバランスを取るためにあえて注水する機能もあった。艦内への被弾に対しては、復旧のために消化剤の噴射や防火壁、強制注水による弾薬庫の引火防止などの様々な防御対策も施されていた。
「大和」は、戦艦の砲弾の防御構造がそのまま効果的に利用されることで、攻撃を受けても一定期間は防御することができた。諸説あるが「大和」が2時間あまりで受けた攻撃は、魚雷10~12本と爆弾3~5発となっている。兄弟艦の「武蔵」が魚雷だけで20本ほど受けたという記録もあって、簡単に沈没してしまった印象を受けている方も居ると思うが、その時とは状況が異なる。最後の戦いとなったレイテ沖海戦では、「武蔵」以外にも標的が分散しており、米国側は空母などの機動部隊をおとりに使うなど戦術も巧みだった。そういう意味で「大和」の最後はとても悲劇的であり、たった1つの目標に四方八方からサンドバックのように叩かれ続けるという絶望的な最期であった。
「大和」の防御力は、戦艦同士の対戦なら砲弾が空を飛んで船体上部に当たるために船体上部の装甲が圧倒的に強く、航空機の爆弾ではそれほどダメージを受けない。そこで攻撃側は、船体上部に比較して防御が手薄であり、穴が開くと浸水して沈没に直結する喫水線付近に攻撃を集中させる。それでも「大和」は、本来の想定とは異なる攻撃についても、以下のような有効な防御構造をもっていた。
- 他国の戦艦ではあまり見かけない水面下の装甲
- 浸水を被弾箇所に限定させる隔壁による多層構造
- 浸水しても船が浮かぶために必要な予備浮力が潤沢
- 船の傾斜による転覆を防ぐためのダメージコントロール機能
このように「大和」は、本来の想定とはかなり違った質と量の攻撃を受けたにも関わらず、これらがそれなりに機能して、一定時間は効果を発揮した。
一方、他国の軍艦となるドイツ海軍のビスマルクは、タートルバックと呼ばれる装甲配置を採用した。
この装甲のメリットは、二枚の装甲をうまく組み合わせることで対40cmの貫通を防ぐ圧倒的な頑丈さである。
ビスマルク追撃戦の中で近距離から戦艦の砲弾を浴び続けても耐え抜いて見せたビスマルクの強靭さはここにあると言える。
これらの考え方はネットワークゲートウェイなど防御の他に、PCやスマートデバイスのセキュリティ対策を個別に施すなど、多層防御と呼ばれる現在のセキュリティ対策に通じる。
海軍の歴史とサイバーセキュリティの未来
海軍の役割は海軍を取り巻く政治情勢や技術躍進などによって大きく変化してきた。初期の海軍は陸軍部隊の輸送や沿岸警備という補助的な役割であり、常に編制されていたわけではなかった。しかし16世紀に初めて戦闘を目的とした船舶が設計されるようになり、次いで蒸気機関を用いた船舶技術の発達が進むと、独自的な役割を担う戦力として海軍が常備化されるようになる。航空機が発明される以前のものであったが、現代においてもその基本思想は現代海軍に残っている。第一次世界大戦では潜水艦の通商破壊や海上封鎖の効果が高く評価され、また第二次世界大戦でも大西洋と太平洋の海上交通を巡って従来の軍艦と併せて航空母艦の航空打撃戦が行われた。冷戦期には核弾頭を搭載した核ミサイルと原子力潜水艦という新しい海上戦力が抑止力の役割を担ってきた。また、現在の軍事は、ミサイルをめぐる「いたちごっこ」の観を呈している。これには莫大なお金もかかる。しかし、現状に対応するしか他に方法はない。少しずつでも対応していかないといざという時には間に合わないからだ。
これはサイバーセキュリティの分野でも同じことが言える。不沈であり続けるセキュリティ技術など存在せず、日々技術の発展と攻撃者に追従していく必要がある。限られた予算で最適な防御を実現するために、脅威分析やリスク評価が重要であるのは言うまでもないが、新技術との向き合い方についても参考になる点がある。
近年、ブロックチェーン、AI、ゼロトラストといったキーワードが脚光を浴びている。ここでは、ゼロトラストの例を挙げる。このキーワードは、「信頼できないことを前提としてセキュリティ対策を講じていく」という考え方を指す。
ゼロトラストの利点は、セキュリティレベルの向上である。ゼロトラストではデータへのアクセスやアプリケーションの利用のたびにアカウントや権限の確認を行い、不正なアクティビティに対してはブロックや警告が行われる。そのため、社内・社外のどちらに置かれた情報資産に対しても高いセキュリティレベルを期待できる。
一方、ゼロトラストは単一の製品・サービスで実現できるものではないため、その仕組みを実現するには多くの製品・サービスの導入が必要で、コストも高くなる可能性がある。さらに、ゼロトラストではさまざまな場面でアカウントの権限やアクティビティを確認するため、業務上の不都合が生じる可能性もある。
例えば、担当者が誰かの代理でデータを送信するようなケースでは、アカウントに十分な権限がないとアクセスを拒否されたり、不正利用を疑われたりする可能性がある。また、頻繁にチェックが行われるため、システムのパフォーマンスが低下してしまうことも考えられる。その他、新しい仕組みに従業員が対応するための教育コストや、セキュリティ管理者の仕事量が増える可能性などもデメリットとして付随する。
ゼロトラストに限らず、新技術の導入を試みたものの、議論が進まなかったり、導入後に問題が露見するケースをよく耳にする。なぜうまくいかないのか。これらは、目的意識の欠如が主な要因と考えられる。上記のようなケースでは、新技術の謡い文句につられて尚早に着手したりしていないだろうか。もう一度振り返ってみてほしい。
海軍に限らず軍事分野では、明確な目的意識が存在し、入念な検討が行われたうえで新技術が導入される。なぜこの艦種が必要なのか、なぜこの兵装が必要なのか、答えられない士官はいないだろう。
ここで言いたいのは、何も考えずに新技術に飛びつくだけでは、満足な結果は得られないということだ。ブロックチェーンやゼロトラストも素晴らしい技術であることに変わりないが、導入自体が目的になってはいけない。これらの技術は目的を実現する手段として活用されてこそ、意図した価値を発揮する。
新技術を目にした時には、何のための技術なのか、何のためにこの技術を導入するのか一度よく考えてほしい。あらゆるなぜに答えられる目的が用意されていれば、途中で行先を見失うようなことはないだろう。
ここまで、海軍とサイバーセキュリティを関連付けてきた。最後に、海軍の歴史から見るサイバーセキュリティの未来について考えてみる。前述のとおり、海軍の存在意義は時代や技術にあわせて様変わりしてきたものの、軍事分野の考え方がサイバーセキュリティの一歩先を行くケースは少なくない。現代海軍の在り方として、イージスシステムによる未着弾迎撃や敵基地攻撃による攻勢防御がある。このように、サイバーセキュリティの分野においても着弾前に攻撃を阻止するような技術が注目されていくのではないかと私は考えている。いずれにせよ、明確な目的意識をもって新技術と向き合っていく姿勢が今後も原点であり続けることは変わらないはずだ。
