セキュリティは、複雑に絡み合うクモの巣のようなものです。セキュリティの世界にはさまざまなカテゴリーがありますが、その分野を越えて共有できる教訓もあります。物理的なセキュリティは、サイバーセキュリティを具現化したものと見ることもできます。デジタル世界と物理世界の両方のセキュリティは、同じ基本原則に基づいています。ロックピッカー(合法的な鍵師)とは使用するツールやスキルが異なるものの、サイバーセキュリティについて、彼らから学べる教訓がいくつかあります。
1. 行動規範
ロックピッカーが最初に習うのは、ロックピッキングに関する 2 つのルールです(「ロックスポーツの 2 つのルール」とも呼ばれます)。1 つ目は「自分のものではないロック(錠前)、あるいは所有者の許可を得ないロックの解錠はしない」こと。これは、ロックピッキングの倫理観で、好奇心と合法性の境界を思い出させるものです。米国の多くの州ではロックピック(ピッキングツール)の所有に関する法規制があり、道徳的なロックピッカーは常にその監督下にあることを意識していなければなりません。サイバーセキュリティのプロにも、同様のルールが当てはまります。常に法規制に従った行動が求められます。
ロックピッキングの 2 つ目のルールは、1 つ目ほど単純ではありません。それは、「使用中のロックは解錠しないこと」です。ロックピッカーは、今開けようとしているロックのセキュリティを自分が攻撃しているのだということを認識する必要があります。デバイスの根本的な性質を破ろうとすれば、それを壊してしまう危険性が生まれます。プロの鍵師は、使用中のロックを解錠しなければなりません。しかし、このルールは、セキュリティを破ることに伴う危険性を思い出させるために存在します。
倫理的なハッカーは、ネットワークセキュリティを不必要にテストすることによって、ネットワークが危険にさらされたり、ファイルが破損したり、企業がダウンタイムに陥る可能性があることを知っています。セキュリティのテストには常にリスクが付きまといます。それを行うことの意味を常に重んじなければなりません。
2. 興味は力なり
ロックピッカーは新たな解錠方法を常に模索しています。これは、企業が新たな脆弱性を修正した製品を常に開発していることを意味します。その結果、絶えず変化する分野の研究が必要となります。ロックピッカーは知識とスキルを常に最新の状態に保たなければなりません。新しいデバイスに関する理解がゼロであれば、その先も遅れをとることになります。最新の解錠方法を知らなければ、次の進化でさらに混乱することになるでしょう。絶えず変化する潮流に対応するには、ロックピッカーは自分の仕事に興味を持たなければなりません。
興味は学習を容易にし、さらなる学習を促します。仕事への興味を失えば、必要な情報を取得する意欲を維持できなくなります。エレクトロニクスやソフトウェアのセキュリティは速いペースで変化しています。興味を持って臨まなければ、簡単に後れを取ることになるでしょう。しかも、ロックピッキングの世界では、練習を休んだだけで能力が錆びつく可能性があります。
ロックピッキングは劣化しやすいスキルです。何もしなければ、能力が失われます。仕事に対する興味を失うことは、単に後れを取ることではなく、これまで積み上げたすべてを失うことを意味することをロックピッカーは知っています。興味を持つほどに、スキルは確固たるものになってゆくのです。
3. 開けられないものはない
ロックの本質は開くことにあります。閉じもしますが、ずっと閉じておくものではありません。適切な人を中に入れるのがロックです。誰も中に入れることができないなら、そのロックは壊れています。ロックピッカーは、これがすべてのセキュリティに組み込まれている本質的な弱点であると理解しています。ロックは全ての人を締め出すためにあるのではなく、適切な人を中に入れるためにあります。たとえ開けるべきでないときでもロックを開けさせることができればいいのです。しかし、必ずしも意図したとおりに開く必要はありません。ロックピッカーはそれが開くことを知っているからこそ開けることができるのです。完全なセキュリティというものは存在しません。
そのため、ロックピッカーは自己研鑽に励むことになります。しかし、時には焦りが出ることもあります。「このロックは開けられない」とは言えません。自分が開けることができない、または誰も開けていないだけの話だからです。サイバーセキュリティの専門家は、自分たちが構築するものも、回避しようとするものも、本来不備があるものだということを学ぶ必要があります。
すべてのロックにはキーが付属します。そのキーの仕組みを知れば、解錠技術を向上させる為に知っておかなければいけないことがわかります。
4. すべての敵の身になって考えよ
ロックピッキングには数多くの方法があります。ツールで掻き出すレーキングというやり方や、ロックの各構成要素に対してピッキングするやり方、櫛状のピックやバンプキーを使う方法などさまざまです。どうしても解錠できないなら、ロックを切断するかハンマーで叩くこともあります。重要なのは、手の込んだやり方なら鍵が開くというわけではないということです。ロックピッカーは、どの方法が有効かを探っていくものです。初めてのタイプのロックを前にしたら、初心者のようにテストすることから始めます。まずは、鍵穴の中でピックを同じ力加減で動かすことができるでしょうか。それができたら、さらに細かな操作を試みます。
「システムの侵害を試みる人物の身になって考えよ」と言う人は大勢います。しかし、「システムの侵害を試みるすべての人物の身になって考えよ」という人はあまりいないでしょう。このように考えることで、迷うことがなくなります。いくつかの YouTube のチュートリアルを観た犯罪者のように考えると、本物の脅威を知り、予測できるようになります。誰かが幸運を手にするかもしれません。だから、彼らがどの程度幸運である必要があるかを知ることもあなたの仕事です。
専門分野において、あらゆるレベルの知識を持つ人物のように考えられること。それが専門家です。それがあなたの強みとなり、あらゆる敵のようにロックを攻撃できるようになります。サイバーセキュリティのプロにとっては、悪玉ハッカーの気持ちを理解することが重要です。
5. 忍耐強くあれ
ロックピッキングには、多大な集中力と忍耐力が要求されます。闇雲に作業すれば、ツールを壊したり、ロックを破壊してしまうこともあります。焦るだけでも、解錠に余計な時間がかかることになります。急いでいるときには、事を仕損じるものです。忍耐強くあるほど、見逃しも少なくなります。
ロックとピッカーは、非常に微妙なやりとりを行います。このやりとりはフィードバックと呼ばれます。内部の機構の微妙な音や動きから、デバイスに隠された秘密をうかがい知ることができるのです。そして、忍耐強くあることで、このようなシグナルを感じ取れるようになります。
仕事は焦ってまで早くこなそうとすべきではありません。サイバーセキュリティの世界でも、時間の短縮を優先させれば、弱点の発見は非常に難しくなります。そしてそれが一般的な失敗の原因です。重要なのは時間枠ではありません。心の持ち方です。時間がないときほど、急いではいけないのです。忍耐力を持ち合わせていないロックピッカーは、運に頼るしかありません。物事は必要な時間をかけなければ成し遂げられないということを受け入れなければならないのです。たとえ 6 つの異なる方法でロックを開けようとするときでも、冷静に行う必要があります。
時間は上手に使わなければなりません。ただし、冷静さを失えば、簡単に戦いに敗れてしまうことを知っておきましょう。
まとめ
異なるセキュリティの領域から学べる教訓は数多くあります。ロックピッカーたちが道義的責任をどのように捉えているかを知ることで、セキュリティの弱点を見つけることが何を意味するのかをより深く理解できるようになります。そして、御社の分野に特有の欠陥と、システムを攻撃しようとするすべての者のように考える能力と義務、さらにそれらすべてを冷静かつ忍耐強く遂行することを学ぶことができます。そのような知見を備えれば、より均整の取れたセキュリティのプロになることができます。
Ralph Goodman 執筆者について:Ralph Goodman は、ロックとセキュリティのエキスパートであり Lock Blog に寄稿するプロのライターです。Lock Blog は、鍵、ロック、安全について学ぶことのできる有用なリソースで、ユーザー、鍵師、セキュリティのプロにヒント、アドバイス、ハウツーを提供しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしも Tripwire Inc. の意見を反映するものではありません。
