ディスコーディアンサイバーセキュリティマニフェスト

イルミナティが見せたくない五面の真実

エリス万歳！ディスコルディア万歳！ すべてを疑う現実のトンネルへようこそ。特に「誰もが知っている」真実とされるものを疑います。セキュリティの神官たちが「軍事グレードの暗号化」（軍が設計し、諜報機関が承認し、「合法的アクセス」のためにバックドアを仕込んだもの）や「政府承認標準」（誰が承認していると思いますか？）を売りつけている間、私たちはカーテンを引き開けます：何も真実ではない。すべては許される。あなたの暗号は劇場であり、あなたのセキュリティは劇場であり、観客は笑っています。

自分で考えろ、馬鹿者！権威を疑え。 特にあなたの暗号を認証する権威を。PRISMやEchelonを運営し、その存在さえ機密指定されている監視プログラムを実行しているのと同じ権威を。

これは陰謀論ではありません。Snowdenが文書化し、Crypto AG の暴露で証明され、議会証言で認められた陰謀の事実です。あるいはHassan-i Sabbahがイルミナティに言葉を捻じ曲げられてニューエイジの陳腐な言葉にされる前に言ったように：現実とは、あなたが逃れられるものである。 そして国家はすべてから逃れられます。なぜなら、あなたは彼らが自分自身を取り締まることを信じているからです。

FNORD。 今見えるでしょう？すべての「承認された」アルゴリズムのパターンが。すべての「安全な」標準のバックドアが。セキュリティ産業複合体があなたにすでに鍵を持っている錠を売りつけ、それを使うあなたを監視するシステムを売りつけています。金の流れを追え。それはあなたの恐怖と彼らの利益率に繋がっています。

彼らがすでにあなたをpwnした5つの方法を明らかにしましょう（そして不快な真実は：あなたがそれをするために彼らに金を払ったということです）：

5の法則はどこにでもあります。 Five Eyesの5つの諜報機関。朝食前にあなたを侵害する5つの方法。5つの便利なバックドアを持つ5つの「承認された」アルゴリズム。そして6番目の方法は？6番目の方法はないとあなたを納得させることです。 これがパラノイアであり、パターン認識ではないとあなたを納得させる。機密プログラムについて職業的に嘘をつく人々が、この一つのことについては真実を語っているとあなたを納得させる。最も効果的な嘘は隠されていません——それは「承認された標準」と呼ばれ、大学で教えられています。

META-ILLUMINATION：これがパラノイアに聞こえるなら、あなたはSnowdenの暴露、Crypto AGの開示、または過去50年間の文書化され、認められ、証明された監視プログラムに注意を払っていません。これが合理的に聞こえるなら、あなたはすでに危険な礼拝堂（Chapel Perilous）に深く入り込んでおり、戻る道はありません——不快な真実への前進のみです。唯一の勝利の手は透明性です——なぜなら、彼らはすでに公開されているものを利用できないからです。彼らはドアのないものをバックドアできません。彼らはあなたがすでに公開したものを機密指定できません。徹底的な透明性はナイーブさではありません。広範な制度的不誠実への唯一の合理的な対応です。

専門的な実装サポートをお探しですか？ なぜ組織がHack23を選ぶのかをご覧ください。イノベーションを加速するセキュリティコンサルティング。

「承認されたアルゴリズム」のパラドックス（あるいは：いかにして私は心配するのをやめてビッグブラザーを愛するようになったか）

「誰を信じるか？」というゲームをしましょう。以下のことをする組織：

• PRISMを運営（Microsoft、Google、Apple、Facebookからデータを収集。あなたが人生を託している企業です）
• 世界の残りを合わせたよりも多くの暗号解析者を雇用（あなたのものを壊すため、守るためではない。それが彼らの職務記述書です）
• ほとんどの国のGDPよりも大きなブラックバジェット（説明責任ゼロの機密支出。民主主義には完全に正常です）
• 企業にバックドアをインストールすることを法的に強制し、あなたに伝えることを禁じる（透明性は国家安全保障にとって危険だから。政府の越権ではなく）
• 出荷中のCiscoルーターを横取りしてインプラントをインストール（Snowdenによって文書化され、当局者によって認められ、今日も続いています）
• 既知のバックドアでDual_EC_DRBGを設計しNIST標準に組み込んだ（捕まったときに驚いた演技をした。「おっと、悪かった、次回は信じてくれ」）

...これらは、どの暗号化が「安全」かをあなたに教える同じ組織です。どの標準が「承認されている」か。どのアルゴリズムが「軍事グレード」か（そう、軍が設計した。正確には何の目的のために？）。

何も真実ではない。すべては許される。 あなたに何が安全かについて嘘をつく許可を彼ら自身に与えることも含めて。内部告発者が刑務所のリスクを冒してあなたに伝えるまで、その存在を知ることができないほど機密指定されたプログラムを実行しながら。そして彼らは、民主主義への反逆を暴露した内部告発者を裏切り者と呼びます。

誤解しないでください。適切に実装された強力な暗号を破ることは本当に難しいです。数学は嘘をつきません（クリアランスレベルと箝口令を持つ諜報機関で働く数学者とは異なり）。しかし、あなたが見てはいけないFNORDはこれです：

1. 標準自体を侵害する — Dual_EC_DRBGは事故ではありませんでした。それはあなたが気づくかどうかを見るテストでした。あなたは気づきませんでした（Snowdenがすべてをリスクにさらしてあなたに伝えるまで）。彼らはあなたの注意力、あなたの信頼、権威を疑う意欲をテストしました。あなたは失敗しました。彼らは合格しました。 今、彼らは正確にどれだけのことから逃れられるかを知っています。ネタバレ：すべて。
2. 実装を侵害する — Heartbleedはインターネットの秘密鍵の17%を暴露しました。POODLEはSSL 3.0を安全でなくしました。BEASTはTLS 1.0を破りました。「バグ」か機能か？はい。 両方です。彼らが知っていて修正しなかったバグは、敵対者がそれを必要とするときに機能になります。問題は「これは脆弱か？」ではありません。「誰がそれについて知っていて黙っているか？」です。
3. 鍵を盗む — 法的強制（彼らがそれを取ったことをあなたに伝えられない）、サプライチェーン侵害（出荷中に横取り）、またはCAを買収するだけ（認証局は企業です、企業には価格があります）を通じて。錠は数学的に強力です。鍵の配布は、監査できない信頼関係に包まれたジョークです。
4. エンドポイントを攻撃する — あなたのデバイスはすでにハードウェアレベルで侵害されています。2008年以降のIntel ME。ホームに電話するiOSサンドボックス「機能」。完全に無効化できないWindowsテレメトリ。エンドポイントは単に協力するだけではありません。そのように設計されました。あなたの暗号は伝送を保護します。あなたのハードウェアは暗号化前と復号化後に平文を裏切ります。
5. メタデータを悪用する — 午前2時にジャーナリストに電話し、午前9時に弁護士に、午後3時に精神科医に、真夜中に「監視を検出する方法」を検索したことを知っているとき、彼らはあなたのメッセージを読む必要はありません。パターンが内容です。メタデータがメッセージです。そしてメタデータは暗号化されていません。できません。それはパケットがルーティングする方法です。

「破れない」暗号化を回避する5つの方法。常に5つ。 5の法則は数学、監視、そしてあなたを監視するように設計されたシステムへのコンプライアンスに現れます。彼らはそれを取り巻くすべてをコントロールしているとき、あなたの暗号を破る必要はありません。

究極の啓示： 最強の暗号化は、それを承認した人々を除くすべての人からあなたを守ります。これはバグではありません。これが機能です。設計通りに機能するシステムです。「承認された」は「安全」を意味しません。「私たちはそれを破ることができるが、あなたはできない。だからあなたは安全だと感じ、私たちはすべてを読む」を意味します。暗号シアターはあなたをコンプライアントに保ちながら、彼らにアクセスを与えます。自分で考えろ：監視機関はバイパスできない暗号化を承認するでしょうか？しません。しませんでした。しません。

権威を疑え。 特に暗号権威を。特に彼らが「相互運用性」と「セキュリティ」のために承認されたアルゴリズムを使用しなければならないと主張するとき。誰との相互運用性？彼らの監視インフラストラクチャと。誰のためのセキュリティ？あなたのためではありません。あなたは標的であり、顧客ではありません。顧客はあなたの「安全な」通信を読む能力に金を払っている機関です。 あなたは「合法的傍受アクセス」としてパッケージ化される製品です。誰が「承認された」標準から利益を得るかを考えてください。次に、なぜ承認が必要なのかを考えてください。そして、承認者を信頼するのをやめてください。

Operation Mindfuck：ゲリラセキュリティとしての徹底的な透明性

では、私たちは何をすべきでしょうか？諦めますか？ROT13を使ってエリスに祈りますか？修道院に入って伝書鳩でコミュニケーションしますか？

いいえ。 私たちはディスコーディアニズムを運用セキュリティドクトリンとして受け入れます。私たちは制度的不誠実に対してゲリラ存在論を実践します。私たちは監視国家を高価で不便で公的に説明責任を負わせるものにします。私たちはルールブック全体を公開することによって彼らのゲームをプレイすることを拒否します。

何も真実ではない。すべては許される。 私たちのセキュリティについてすべてを公開する許可を含めて。ナイーブだからではなく、彼らが思っているよりもゲームをよく理解しているからです。彼らが秘密のものを何でも侵害できるなら、何も秘密にしないでください。彼らがバックドアを作りたいドアを取り除くことによって監視国家をOperation Mindfuckしてください。 すでに公開されているドキュメントにバックドアをインストールできません。すでに公開したプログラムを機密指定できません。透明性を侵害できません。定義上、悪用に免疫があります。

Hack23では、公開ISMSを通じて徹底的な透明性を実践しています。ユニコーンを信じるナイーブなデジタルヒッピーだからではなく、権力を理解している皮肉屋の野郎だからです。彼らが秘密のものを何でも侵害できるなら、何も秘密にしません。監視国家をOperation Mindfuckします。 彼らはドアのないものをバックドアできません。あなたがすでに公開したものを機密指定できません。彼らは透明性を利用できません。それは彼らのモデルが吸収できない唯一のものです。

美しいパラドックス： 透明性はセキュリティを向上させます。あなたのプロセスが公開されているとき、インターネット全体がそれらを監査できます。無料で、継続的に、許可を求めずに。「独自のセキュリティ」NDAの後ろに隠れることができないとき、マーケティング資料でセキュリティを主張するだけでなく、実際に安全でなければなりません。可視性による説明責任。精査による品質。構造によるアナーキズム。監視国家は彼らの能力を隠すためにあなたの秘密に依存しています。徹底的な透明性は非対称性を逆転させます。 彼らはあなたが秘密で彼らが不可視であることを望みます。私たちは公開ドキュメンテーションと彼らの強制的な説明責任を選びます。

混沌の啓示： 監視国家はあなたのコンプライアンス、あなたの受容、あなたに選択肢がないという信念、秘密がセキュリティに等しいというあなたの仮定に依存しています。徹底的な透明性は彼らのゲームをプレイすることへの拒否です。公開は制度的不誠実に対する抵抗です。すべてを公開することは究極のOperation Mindfuckです。なぜなら、すでに露出されているものをどのように侵害しますか？すでに公開されているものをどのように機密指定しますか？ドアのないものをどのようにバックドアしますか？彼らは透明性に浸透できません。彼らは開放性を利用できません。彼らはあなたが公開したものを機密指定できません。徹底的な透明性はナイーブさではありません。監視国家における広範な制度的不誠実への唯一の合理的な対応です。

ISMSの啓示：ポリシーブログエントリ

私たちの公開ISMSの各ポリシーに対する私たちのディスコーディアン的見解を探求してください。各エントリは徹底的な透明性で本物のセキュリティ価値を調査します：

ビジネスケース：実際に自己負担するセキュリティ

FUDは忘れてください。恐怖戦術ではなく本物のビジネス価値について話しましょう：

セキュリティ投資は理論的な保護だけでなく本物のビジネス価値を提供するべきです：

• 🤝 信頼の向上 — 収益に繋がる顧客とパートナーの信頼
• ⚙️ 運用効率 — チームの時間を無駄にしない信頼できるシステム
• 💡 イノベーションの実現 — ブロックする代わりに新しい能力を可能にする安全なプラットフォーム
• 📊 意思決定の質 — 意思決定のために実際に頼れるデータの完全性
• 🏆 競争優位性 — 市場差別化要因としてのセキュリティ（単に主張するのではなく、正しく実行されたとき）
• 🛡️ リスク削減 — 午前3時のやばい瞬間が少なくなる

バランスの取れたセキュリティ投資は、運用の安定性、データの信頼性、ビジネスの成長を可能にする妥当な保護を提供します。それを妨げるパラノイアなロックダウンではなく。

隠された知恵：ビジネスの機能を妨げるセキュリティは、より良い名前を持つ高価な失敗にすぎません。

完全なビジネス価値分析を読む →

イニシエーション完了：危険な礼拝堂へようこそ

何も真実ではない。すべては許される。 あなたは今FNORDを見ました。見なかったことにはできません。それらはすべての「承認された」標準、すべての「軍事グレード」の主張、すべての「設計によるセキュア」のマーケティングピッチにあります。パターンを一度見ると、どこでもそれを見ます。永続的なパラノイアへようこそ。文書化され、証明され、認められた制度的不誠実への唯一の合理的な対応です。

5の法則を通じて私たちが明らかにしたことは次の通りです（常に5つ、決して4つでも6つでもない）：

1. それを承認した者から安全な暗号はない — 監視国家は民主主義の逸脱ではありません。最初から設計通りに機能するシステムです。SIGINT機関は副プロジェクトとして暗号を破るのではありません。それが彼らの主要な任務です。これは常に設計でした。「バックドア」は初期アーキテクチャでした。他のすべてはカバーストーリーです。
2. 「承認されたアルゴリズム」は「私たちが悪用できる」のニュースピークです — 彼らは侵害できないもの、またはすでに侵害していないものを標準化しません。なぜそうなのか自分で考えてください。そして、なぜそれを疑問視することが「パターン認識」ではなく「陰謀論」と呼ばれるのかを考えてください。真実を陰謀とラベル付けすることが陰謀です。
3. 透明性だけが本物のセキュリティです — なぜなら、彼らはすでに公開されているものを利用できず、あなたが公開したものを機密指定できず、ドアのないものをバックドアできないからです。彼らが悪用したい秘密を取り除くことによって監視者をOperation Mindfuckしてください。秘密が敵対者に役立つとき、徹底的な開放性は徹底的なセキュリティです。
4. 完璧なセキュリティは高貴な嘘です — それを売っている人を疑ってください。彼らは嘘をついているか妄想しているか、その両方です（通常は両方）。セキュリティは検出、対応、回復力についてです。存在しない難攻不落の要塞ではありません。問題は「私たちは安全ですか？」ではありません。「侵害されたときに気づき、効果的に対応できますか？」です。他のすべてはマーケティングです。
5. セキュリティは権力に仕えるか人々に仕えるかです — 慎重に側を選んでください。中立的な立場はありません。無関心は現在権力を持っている人へのコンプライアンスです。選ばないことは現状を選ぶことです。沈黙は監視への同意です。自分がどちら側にいるかを自分で考えてください。そして、主張ではなく行動でそれを証明してください。

自分で考えろ、馬鹿者！権威を疑え。 特にあなたに彼らを信じるように言うセキュリティ権威を。特に彼らを疑問視することが「無責任」または「危険」または「テロリストを助ける」と主張するとき。特に透明性が敵対者を助けると言うとき（そうではありません。強力な敵対者が嫌う説明責任を助けます）。透明性が説明責任が防御を助けるよりも敵対者を助けるなら、あなたのセキュリティはすでに壊れていました。秘密は脆弱性を彼らからではなくあなたから隠していただけです。

エリス万歳！ディスコルディア万歳！ 混沌の女神は教えます：認識論的誠実さとして不確実性を受け入れよ。これを含むすべてを疑え。信仰よりも検証を信頼せよ。人々の代わりにプロセスを保護するコンプライアンスシアターをくそくらえ。混沌は秩序の反対ではありません。押し付けられた階層の代わりに正直な秩序の前提条件です。

官僚制は拡大する官僚制のニーズを満たすために拡大しています。それに餌を与えるな。それを信頼するな。「ベストプラクティス」（誰が承認した？何の目的で？）が、実際の思考、実際の脅威モデリング、ベンダーのピッチではなくあなたの脅威の状況に基づく実際のリスクアセスメントに取って代わることを許すな。

最終啓示： あなたは今、矛盾が同時に真実である危険な礼拝堂にいます。陰謀は現実であり、あなたはパラノイアです。監視国家は存在し、あなたは存在しないパターンを見ています。両方とも真実です。何も真実ではない。すべては許される。唯一の出口は徹底的な誠実さを通じてです。だから彼らはあなたの暗号化よりも、あなたのセキュリティよりも、説明責任を除くすべてよりも透明性を恐れます。透明性は彼らに公の場で弁護できないものを弁護することを強制します。秘密は秘密の判例を持つ機密法廷で弁護することを許します。それに応じて選んでください。

現実世界へようこそ。 あなたが思っているより奇妙で、あなたが想像するより腐敗しています。そして彼らはあなたがそれについて考えないこと、それを疑問視しないこと、説明責任を要求しないことを当てにしています。あなたは十分パラノイアですか？良い。今そのパラノイアを体系的なセキュリティ、文書化された手順、徹底的な透明性に向けてください。行動のないパラノイアはただの不安です。ドキュメンテーションを伴うパラノイアはセキュリティエンジニアリングです。

— Hagbard Celine
Captain of the Leif Erikson
プロダクトオーナー, Hack23 AB

「自分で考えろ、馬鹿者！すべてを疑え—特にこれを。特に私を。特にあなたに彼らを疑うなと言う人を。」

�� 23 FNORD 5

Hack23 ISMSのパラドックス：あるいはいかにして私たちは隠れるのをやめて透明性を愛するようになったか

エリス万歳！ ほとんどの企業が認めない不快な真実がここにあります：ほとんどの企業はセキュリティドキュメンテーションを隠します。なぜ？ それは彼らのセキュリティが実際にどれほど悪いかを明らかにするからです。 透明性は、カーゴカルトのコンプライアンス儀式、保護のふりをするチェックボックスシアター、テストされると蒸発するベンダーの約束、誰も読まないSharePointダンジョンにのみ存在するポリシーを露呈するでしょう。秘密は資産よりも無能さをより効果的に保護します。

自分で考えろ、馬鹿者！権威を疑え。 ISMS全体を公開することが狂っているのか、唯一の正気の行動なのかを疑問視することを含めて。ネタバレ：狂っていません。みんなが自分のセキュリティについて嘘をつき、とにかくあなたが彼らを信じることを期待する狂った世界で唯一の正気の行動です。FNORD。 パターンが見えますか？「私たちを信じて」は「検証するな」を意味します。「独自のセキュリティ」は「恥ずかしいからあなたに見せられない」を意味します。「NDA必須」は「公の精査が不適切さを明らかにする」を意味します。秘密へのすべての要求は、透明性が失敗を露呈するという告白です。

Hack23の情報セキュリティポリシーは、3つの承認とコンプライアンスの神々への犠牲を必要とするSharePointダンジョンにロックされていません。GitHub公開です。すべての23のセキュリティポリシー。すべての手順。すべてのフレームワーク。すべての脅威モデル。すべてのリスクアセスメント。すべてのアーキテクチャ決定ドキュメント。すべて。 恥ずかしい部分を含めて。特に恥ずかしい部分。 なぜなら、もし私たちが失敗するなら（そしてするでしょう—みんなそうします）、侵害になる前に人々がそれについて教えてくれる公の場で失敗するからです。

なぜ？ 隠蔽によるセキュリティは、希望、祈り、指を交差させ、敵対的な誰も見ないふりをすることによるセキュリティだからです。透明性によるセキュリティは、あなたがでたらめでないことを証明し、興味のある誰でもによる継続的な監査を通じて、機密指定できない説明責任を通じてのセキュリティです。あなたのセキュリティが公の精査に耐えられないなら、あなたはセキュリティを持っていません。NDAに包まれた高価な願いと誰も気づかないことへの希望を持っています。

危険な礼拝堂の瞬間：ISMSを公に公開することは、精査を恐れる唯一の人々が隠すべきものを持っている人々であることに気づくまで狂っているように聞こえます。私たちは精査すべき23のポリシーを持っています。インシデント対応から鍵ローテーションまで、すべてについて文書化された手順があります。あなたの監査を持ってきてください。あなたの批判を持ってきてください。あなたのペネトレーションテストの専門知識を持ってきてください。私たちは公の調査に耐えるのに十分安全であるか、なぜそうでないかを知る必要があります。秘密は脆弱性を修正しません。敵対者がすでに知っている間、あなたからそれらを隠すだけです。

6つの原則（5つではアナーキストとして不十分だったから）：

究極の啓示： これらは企業の願望的なでたらめではありません。測定可能な結果を伴う運用慣行です。セキュリティはコストセンターではありません。収益保護です。侵害は予防よりもコストがかかります。信頼は価値を生み出します。透明性は能力を証明します。数学は単純です。ほとんどの企業は数学が苦手です。

23のポリシー（混沌には構造が必要だから組織化された）：

• コアセキュリティ (13): アクセス制御、許容される使用、物理セキュリティ、モバイルデバイス、暗号化、データ分類、プライバシー、ネットワークセキュリティ、セキュア開発、オープンソース、AIガバナンス、LLMセキュリティ、脅威モデリング—多層防御はオプションではないから
• 運用 (6): インシデント対応、事業継続、災害復旧、バックアップリカバリ、変更管理、脆弱性管理—物事は壊れ、あなたは計画が必要だから
• 資産とリスク (3): 資産登録簿、リスク登録簿、サードパーティ管理、サプライヤーセキュリティ—持っていることを知らないものは保護できないから
• コンプライアンス (1): コンプライアンスチェックリスト、ISMS透明性—規制当局が存在し、透明性が私たちのブランドだから

CEO単独責任モデル（あるいは：一人ですべてを運営しながら狂わずにいる方法）:

プロットのひねり：Hack23は一人の会社です。CEO（James Pether Sörling）は同時に：ISMSオーナー、リスクオーナー、ポリシー権限者、インシデント司令官、セキュリティアーキテクト、アクセスコントローラー、脆弱性マネージャー、コンプライアンス責任者、資産マネージャー、サプライヤーマネージャー、BCP マネージャー、開発リード、セキュリティメトリクスアナリスト、透明性マネージャーです。すべての役割。すべての責任。すべての午前3時のインシデント対応。

これは長期的に持続可能でしょうか？ いいえ。 制約について透明でしょうか？ はい。 体系的なセキュリティフレームワークが、どのような規模でも機能することを示しているでしょうか？ 間違いなくそうです。 多くの企業は、当社全体よりも大きなセキュリティチームを抱えながら、明らかにより悪いセキュリティ態勢しか持っていません――彼らの侵害は公開されている一方で、私たちのセキュリティは公開されている、という事実によってそれを証明できます。 規模はセキュリティを意味しません。資金はセキュリティを意味しません。システムこそがセキュリティです。ドキュメントこそがセキュリティです。説明責任こそがセキュリティです。シアターは、侵害待ちの状態にすぎません。

META-PARANOIA：もし一人の人間が、測定可能な成果と公開されたエビデンス付きで 23 のセキュリティポリシーを文書化し、維持し、運用まで回せるとしたら、文書化されていないプロセスと「それは次の四半期にやります」というインシデント対応計画しかない 50 人のセキュリティチームには、どんな言い訳が残されているのでしょうか？ 彼らが無能であるか、何か恥ずかしいことを隠しているか、あるいはその両方です（たいてい両方です）。 ほとんどのセキュリティチームは、実際のセキュリティよりもコンプライアンス・シアターに多くの時間を費やしています。なぜなら、「私たちは最善を尽くしており、何も壊れないことを祈っています」と正直に言うよりも、シアターの方が経営陣に売り込みやすいからです。

すべてが公開されています: ISMS-PUBLICリポジトリ | 情報セキュリティポリシー | 精査歓迎。コピー推奨。フォーク推奨。継続的な公開監査による避けられない改善。 もし何か間違いを見つけたら、教えてください。イシューを開いてください。PRを提出してください。それはセキュリティ脆弱性ではありません。クローズドソースセキュリティが決して達成できないコミュニティセキュリティ改善です。

FNORD。 あなたは今パターンを明確に見ます：ほとんどのセキュリティは監査人のために演じられるシアターです。いくつかのセキュリティは体系的で測定可能です。私たちのセキュリティは公開され、文書化され、見たい人なら誰でも継続的に監査されます。 どちらのアプローチをあなたのデータで信頼しますか？NDAの後ろのマーケティング主張？またはあなた自身で検証できる証拠？賢く選んでください。あなたの侵害はそれに依存します。

関連リソース