2022年を代表する良書
2024/11/10 11:08
0人中、0人の方がこのレビューが役に立ったと投票しています。
投稿者:Snowdingo - この投稿者のレビュー一覧を見る
2022年を代表する良書です。翻訳も不自然な部分は少なめです。
ただ、歴史とはいっても全てをカバーしてるわけではないので、そこは注意して読むと良いと思います。後、後半は少し繰り返しがあると感じました。
投稿元:
レビューを見る
この本はタイトルでもふれているとおり,情報セキュリティについて,歴史的(時系列的)にまとめられています.
本書を読むことで,「今までの情報セキュリティはどの様な変遷を辿ってきたのか」を知ることが出来ます.他方,「では(今後)どうすれば良いのか?」については殆ど触れていません.
本書は,「では(今後)どうするのが良さそうか」を考えるために,「歴史的(時系列的)な当時の事実・現状」の共通認識を得る事が主眼だと思います.
個人的には,本書はサイバーセキュリティ専門家が,本書を読んで,これまでの背景を知る(再確認する)のに適していると思います.
若年層のサイバーセキュリティ専門家は,本書でこれまでの経緯を知り,ベテラン層は,「ああそういう事もあったなぁ」と振り返りつつ,過去の経緯を再確認できると思います.
情報セキュリティは,最新動向に目が行きがちで,本書のような歴史的(時系列的)な内容は少なく,希少価値がある書籍だと思います.
投稿元:
レビューを見る
情報セキュリティというと、新たな脆弱性情報や攻撃手法等の最新動向を日々フォローアップするとのイメージが強いが、そればかりでは“対症療法”に陥るおそれもある。
本書は、情報セキュリティがどのような経過、変遷を辿ってきたのか、その歴史を振り返ることで、どうして今のような状況になっているのかを理解すること、それが迂遠のようだが今後どうしたら良いのか考える道標となる、そのような問題意識の下に書かれている。
1940年代コンピュータの登場以降の代表的な出来事を改めて学ぶことができるし、技術的な問題のほか、心理学、行動経済学的な視点からの分析もあり、啓発されるところ多い、興味深い書だと思う。
投稿元:
レビューを見る
「パッチ・チューズデー」に「エクスプロイト・ウェンズデー」。そんな流れがあったのか。。(今もあるのかもしらんが)
歴史を紐解いてそこからの学び・教訓を示すのかと思いきや、意外とオチがなかったりして、ますます混迷を深めるサイバーセキュリティ。。。という読後感。
2021年の原書の発刊時点では起こっていなかったウクライナ禍ですが、訳者あとがきではしっかりフォローアップされていました。
投稿元:
レビューを見る
下記は中盤まで、私のこれまでの社会人としての半生、ちょうどこの書籍に書かれているような歴史に沿ったものが大半であるので、興味のない方には飛ばして読んで頂いて構わない。各個人でご理解の上で読んで頂ければと思う。
…幸か不幸か、私は学卒(ちょうどバブル絶頂期、1987年だった事もこれまた…)後、今で言う「IT業界」にその身を投じ、その後8年間(これまたまさに1995年まで)はその業界で、またさらにその後20年ほどは異なる業界のIT部門の担当者として勤務した。その経験から、何もわからない状態からいわゆる「ITビジネス」の大方の部分を学ぶことができてきた様に思う。
時代背景からお分かりのように、私が社会人として働いてきた歴史の経緯は、バブル崩壊を経て、1995年のウィンドウズ95の発売、PCの低価格、汎化、通信回線の充実、携帯電話、スマホ…、というまさにテクノロジーの発展の歴史でもあり、私は雇われの身でありながらも仕事を通じて、それら最先端の情報に「常に高揚感を覚えながら」接することができてきたようにも思う。
その様な経緯であるから、ある程度大枠が見えてきた2000年頃からは、決して誰かに強いられる事なく、OSの新潮流であるとか、データベースソフト、或いは通信回線のプロトコル、ファイアーウォールの原理、実装、等、それなりに大いに興味を持って研究もして来た。また過去に遡って、アラン・チューリング氏の映画をみたり、はるか過去に定義されていた、公開鍵方式、に関する書籍、も読んでみたりしてきた。
また、同時期に、時間をおいて、自分の身の回りに起きた数々の「セキュリティを脅かす」様な事案も忘れられない。特筆すべきはウィンドウズNTサーバー(IIS・ウェブサーバー)を標的として感染を広げた「コードレッド」なるウィルス(本書にも取り上げられている)の存在だった。これは何故だかわからないが、早くからその情報、ウィルスの立ち居振る舞い、がネット上に多々散見され、いわゆる「未知のウイルスに向き合った時のような」恐怖を感じずに対峙することができた。また、その(感染しているか否かの)診断を、やはりネット上で遠隔で操作できるツールを使って把握することができ、私は当時勤務していた会社の親会社(そこのウェブサーバーはすでに感染していた、ちなみに自分が勤務していた会社にはウェブサーバーは無かった)の感染事実を、いち早く(下請けの立場から)報告し、「一部担当者からは」感謝の言葉を頂いたことは忘れられない…
書籍の話に戻そう。この書籍は、コンピュータ黎明期からの当初は緩やかな成長曲線を描いていた技術の発展、それを便利にしようとすればするほど脅かされるセキュリティ事案(の実例)を、緻密な調査と文献の引用に従って、時系列順に詳細に解説してきた書籍である。また、当初は「子供のいたずら」の様な幼稚で理解しやすい、情報漏洩、情報破壊工作、が、やがて全く目に見えない、国家間の戦争、情報収集、あるいは丸見えになっている私たちの個人情報のような「便利なはずのコンピュータ、インターネットの恐ろしい水面下の脅威」について実に興味深く述べられている。これら大半の部��は私が上記に書いた自分の仕事、あるいは私生活とも大いに関わってきていた。
上記に私は「公開鍵方式、に関する書籍、も読んで」と書いたが、その書籍を実は読了していない。なぜなら、表題としては実に興味深かったのだが、あまりにも現実離れしている気がして退屈だったからである。比べてこの書籍は、ひとつひとつのインシデントとでも言うべき出来事を、実に興味深く深入りせずに巧妙なレトリックで紹介してくれている、ため、実に読みやすい。また、そういうひとつひとつの出来事を、時系列的に振り返ることができるタイミング(社会の歴史的にも、私個人的にも)に来ているという事もあるのかもしれない。
私の様な経歴を持つ人なら読んで大いに頷ける部分があるだろう。経歴は違えと、ITというものに少しでも関わりがある、興味がある方には、大いに推薦したい。
追記:最近、このような、「ノンフィクションであり、引用、参考文献、の記載が多い、学術論文の様な、時系列に従った事実の羅列、しかしひとつずつ興味を惹かれる面白さがある」書籍に巡り合うことが多い。いずれブックリストを作成しようと思うが、こういう書籍は、どういったジャンルで呼べばいいのだろう…退屈な歴史書籍などではなく、学術論文でもない(がそれに近い印象はある)。どなたかご存知の方がおられたらご教示頂きたいものである。
投稿元:
レビューを見る
序盤のコンピュータやネットワークの発展の話が興味を惹かれた。CISSPで聞いたような単語や人物が登場しており、まさに情報セキュリティの歴史が綴られていると言える。
情報セキュリティ業界で感じる各種用語や概念の解釈のブレブレ感にも納得ができる。それはセキュリティの誕生そのものがボトムアップ的かつ経路依存的に生まれ、育ってきたものであるため、体系的に整理されていないから。これは悪いことというより、仕方のないことと言ったほうが腑に落ちる。近しい例を出すとブロックチェーンやWeb3に厳密な定義、完全な共通認識がないようなものに近い。
セキュリティの世界では常にトレンドを追うことが良しとされる。この本は逆で、過去、歴史から学ぶべきだというメッセージを発していることがわかる。言われてみればその通りだと思う。流行り言葉に飛びつくだけでは真の専門家にはなれないだろう。幸い、セキュリティの歴史は1970年代からの約50年と圧倒的に短い。
何を持って安全なのかという問いに答えがない
という指摘はその通りかつ、今後も向き合わなければいけない問題だろう。
"ファイアウォールを入れよう"といったセキュリティベンダのポジトークには反証可能性が無く、聞き手は「それは本当に必要なのか?」の判断に迷う。結果、過度なセキュリティ対応による過剰投資や機会費用を生み出す。
読後感の端切れの良さはあまり感じない。これは筆者が指摘する情報セキュリティに賢者の石はないという話に通じるからだろう。
ーーーーー
ペネトレイト and パッチ
→いわゆるペネトレ
→網羅性の確保ができないという点で課題。
テスターの腕が良くないかも。
脆弱性がゼロであることは証明できない。
CISSPだけで見かけた用語や概念がたくさん。
ベル・ラパドューラ
MAC
リングモデル
「システムが安全であるとは何か」→根本的と問い
理論的・学術的な世界⇄物理的・現実的な世界
昔のコンピュータは高価で、共有して使うものだった→セキュリティクリアランスの異なる人同士がコンピュータを使用するときの権限の越境が問題視。冷戦時代の軍が積極的にコンピュータを使っており、これはシビアな問題。→セキュリティの萌芽
さらに、境界防御では無くマルチレベル・マルチユーザの制御というホストレベルのセキュリティが最初の焦点だったとわかる
コンピュータの小型化、民間への普及。セキュリティは実装コストの割に市場のニーズは無く、後回しに。そのまま1990年へ。。
1957年10月、ロシアが人工衛星スプートニクの打ち上げに成功→アメリカパニック。ARPAに宇宙開発、ミサイル戦略の指揮の指示→ARPAは直接研究者を雇っておらず各学術機関とコミュケーションをとる形の組織→組織感のスムーズな連携に関心
ランド研究所のポールバラン
→核攻撃を受けても反撃できる能力を維持するにはどこかがやられても断絶しないネットワークが必要
・断片の集合が全体を構成する
・断片はパケットという��包、共通規格でおしゃべりをする
世界初のコンピュータウイルス(ワーム)
1988年11月2日、コーネル大学
ファイアウォールのあとにWebの登場。
HTTPをおしゃべりできるWebサーバは1990年12月にCRENで産声を上げた。
FUD 恐怖・不確実性・疑念
ハッカーとセキュリティ企業は共生関係にある。マルクスも「ハッカーは犯罪を生産する。それが刑法を、犯罪防止ノウハウを、防犯ビジネスを刺激する」という旨の技術を残している。
→FUDを煽る、FUDの解決策を生むというある意味マッチポンプ
パッチチューズデー
→エクスプロイットウェンズデー
セキュリティを軽視したオラクル、本気で取り組んだMicrosoft、二項対立
Microsoftは2000年代からSDLCを意識
一方アップルは当時からそもそもセキュアな製品を作っていた。
スタントハッキング :
センセーショナルなハッキング対象や手法で、実際的・実用的ではないが目立つハッキング手法。ハッカー個人や企業の知名度向上、リクルーディング、仕事の獲得が狙える。
APT1→中国軍、米国から機密情報の盗み出し。持続的で執拗な攻撃。
「完璧さとは、これ以上追加するものがないときではなく、これ以上取り除くものがないときに実現する」
情報セキュリティのCIAは50年近く前に登場した概念。私たちはいまだにセキュリティの入門としてまず教えられる。しかしこれは情報汚染や偽情報といった現代で気にすべき観点はこぼれている。
投稿元:
レビューを見る
# 情報セキュリティに対して、古来より続く悲しみの歴史を垣間視る
## 面白かったところ
- 人類がなかなかセキュリティ・インシデントに勝てない歴史が面白かった
- 組織としてセキュリティレベルを上げるのは必然だが、それにはコストが相応してかかる。という点が遥か昔から言われていた点
## 微妙だったところ
- 細かく歴史を深ぼってくれたのは良かったが、長かった
## 感想
結局のところ、情報セキュリティは人間にとって直感的に分かりづらく難しいものだと改めて理解した。
ドアの鍵を閉めないと、誰でも侵入できることは幼稚園児にも理解できる。ただ、論理的なコンピューターとなるとなかなか理解が捗らない。
情報セキュリティの知識を教育しようにもコストが掛かるわけで、コストを掛けたところで特別なインセンティブが無い。
この二重苦を乗り越えるための答えを、まだ人類は見つけ出せていないようである。
ソフトウェアパッチを充てることができないターゲットは人間の脳であり、ハッカーたちの的になっている。
この文章を見たときに、我々が知るべき本当の知識とは、情報セキュリティの教養ではなく、人間自身ではないかと改めて胸を打った。
投稿元:
レビューを見る
ITパスポート合格レベルの自分でも、多少分からない用語は出てきたものの、楽しく読めた。
子どもの頃には漠然と"インターネットは怖いものだ"と思っていたものだ、いや、実際のところ、アダルトサイトのポップアップから遷移する派手な脅し文句にビビっていたものだ。
IT企業の技術者やアカデミア界の学者たちが築き上げてきたインターネットは、無知で、ちょっとエッチな画像が見たかっただけの少年という脆弱性を抱えていたのだな、、
ユーザビリティとセキュリティのバランスに関する段を読むと、色々と汎用性のあるテーマだと思わせられる。安全性を保ちつつ利便性、スピード、分かりやすさを如何に担保するか、日頃の仕事においても意識したいところである。
投稿元:
レビューを見る
コンピュータが安全であるかの証明は、まさに悪魔の証明そのもの。絶望的な感じもするが、歴史を学ぶことで見えてくるものもたくさんあるし、普通に読み物としても面白かったのでオススメ!
投稿元:
レビューを見る
「敗北史」という表記が気になって購入。セキュリティにスポットを当てて歴史を解説していて非常に面白い。
投稿元:
レビューを見る
借りたもの。
サブタイトルの「脆弱性はどこから来たのか」が全てを物語っている…情報セキュリティとは敗北の歴史と言える。
敗北の歴史はコンピューターおよびインターネットの歴史そのものだった。
絶望と希望の連続。
セキュリティがなぜ難しいのか?
それは「攻撃者の非対称的な優位性」……潜入する側は1ヶ所だけ穴を見つければいいため。
セキュリティが抱える本質的な問題点…それは過去の決定や設計思想に起因していることを指摘。
これを社会学・経済学の専門用語「経路依存性」を引用して示している。
初期のコンピュータシステムが“信頼”を前提に設計されていたことが今日(こんにち)のセキュリティ問題の根源のひとつだった。
そして技術開発にセキュリティ対策が追い付いていないという構造的な問題、また、インターネットの急速な普及により、セキュリティの専門家が不足、適切な対策をとれていない等……時代を経るごとに問題は複雑多様化している。
情報セキュリティの問題は、コンピュータが誕生した時代にさかのぼる。
1940年代、第二次世界大戦中に開発された初期のコンピューターは主に軍事目的で使用されていた。
そのため、“信頼できる人々だけが使用する”という前提で設計されていた。つまり、悪意を持った人間がシステムにアクセスするという想定がなかった。
そしてコンピューターネットワークの概念が生まれても、それはセキュリティよりも、オープンな情報交換に主眼が置かれていた。
しかし、ネットワークの発展とともに遠隔地からコンピューターにアクセスできるようになったことで、悪意のある人間が不正にシステムに侵入する可能性が出てくる。
1970年代、アメリカ国防総省が特別委員会を作り、情報セキュリティに関する初めての綿密な調査には「システムが大きすぎて守れない」という悲しい結論が書かれた。
1980年代、初期のハッカーたちがセキュリティの脆弱性を探り始めた。この時期、多くの企業や組織が、コンピューターシステムを導入し始めたが、セキュリティに対する認識は依然として低いまま。
1990年代に入るとインターネットが一般に普及。情報革命の幕開けは、同時に新たな脅威の始まり。
初期のコンピュータウィルスはいたずら目的で作られたものが多かったのが、次第に破壊的なもの、個人情報を盗み出すものなど、悪質なものが増えてゆく。
インターネットの商業利用が始まり、金銭的価値を持つ情報がネットワーク上を行きかうようになったため。
2000年代に入ると、社会のインフラとして不可欠なものとなり、セキュリティの重要性も飛躍的に高まったものの、根本的な問題は解決されないまま、新しい技術やサービスが次々と登場し、セキュリティ対策は常に後手に回る状態が続いていく。
この時期、企業や組織のセキュリティ大佐悪の不備が明らかになる。
国家レベルでのサイバー攻撃も顕在化し、情報セキュリティが国家安全保障の重要な要素となってゆく。
著者は情報セキュリティ分野において「3つの汚名」を挙げている。
1.データ漏洩
2.国家によるハッキングがもたらす害
3.「認知的閉鎖」によって生じる機会費用(スタントハッキングによる、セキュリティ障害の根本的な原因を無視し、表面的な発現に焦点を当ててしまうことで、幻の敵を作り出してしまい、幻の敵に勝利しても、それは幻想にすぎない…つまり無駄足)
著者は、サイバーセキュリティ問題、脅威に対抗するためには組織の文化や意識改革が必要不可欠であると説く。技術、心理学、社会学から分析し、社会全体の取り組みが必要である、と。
それには初等教育から、情報リテラシーなどの技術的対策だけでなく、心理的アプローチ…ルールを教えるだけでなく、その理由についてもきちんと説明することが重要である、と提言。
これは終わりのない戦いである、とも。
現在のサイバーセキュリティが直面している課題についても紹介。
サイバー攻撃の手法が高度化・複雑化している。
ランサムウェア攻撃が金銭的被害に留まらず、社会インフラが国家安全保障にまで影響を与えること。
人工知能(AI、ディープラーニング)はセキュリティ対策の強化に貢献する一方で新たな脆弱性を生み出す可能性がある。
人間による監視では見逃してしまうような攻撃の兆候を察知できるが、機械学習を用いたセキュリティシステム自体が攻撃者のターゲットとなる可能性――機械学習を欺くデータを入力し、システムの判断を誤らせる敵対的サンプル攻撃――を指摘。
また、ディープフェイクによるフェイクニュースの拡散についても言及。
…これは人間の心理的なもので技術的なものと違うのでは?とも思ったが、そうした人間の心の隙さえも、“1ヶ所だけ穴”となる……
ゼロデイ攻撃やクラウド化に伴い、防御強化だけではなく、ネットワーク内部の監視強化の必要性を指摘。
この本に。「では具体的にどうすれば良いのか?」という“答え”は書かれていない。そもそも存在していないからだ。
だからこそ、セキュリティは他人事ではなく、多くの人の英知を結集して対策に乗り出さなければならない。
投稿元:
レビューを見る
いたちごっこ
当初はインターネットがなかったのでユーザーの切り替えの部分というのが主な戦場だった。
インターネットできてからワームなどに感染するようになったが、ここでいたちごっこでセキュリティレベルやセキュリティハックの技術が互いに向上していく。
しかし契機なのはセキュリティがメインの機能のおまけ的な扱いから一つの独立した価値として扱われるようになったことである。
これによってセキュリティ強化の機運が高まりマシンに対するハッキングはやや歩留まりが悪くなった。
そこで対象になったのが人間である。
人間が要素として含まれるため、心理学や経済学など人間の活動に根差した分野がセキュリティに関わってくると筆者は説く。
そして皮肉にも軍事目的で生まれたコンピューターはいまや戦争の代替手段として直接人を殺さない方法として使用されている。今後この動きはますます活発化していくだろう。そのためかもはや既存のパッチを当てるなど防御面では国家の攻撃には企業ではなく国家でしか勝てず、情報という分野において総力戦の様相を呈している。
よって上記のように他の分野の知見を取り込んだ、セキュリティの本質を見いださなければならないというのが結論。
言うのは容易いが、この本にあるようなこれまで情報セキュリティ分野1本脚でやってきて、事象に引きずられる形で対応策が生み出されてきた歴史を見ると1度挑戦してみなければと思えてくる。
コモンズの悲劇という話が出てくるが、短期的利益を求めて羊を増やすとみんなが真似して牧草地の草がなくなるという話だった。割れ窓理論に通じるものがあるが、移民や犯罪など情報セキュリティ以外の現在の問題に応用可能。
投稿元:
レビューを見る
情報セキュリティ業界にいる人必読の一書。コンピューターの黎明期から常に存在するバグとセキュリティーホール。セキュリティーは対策は際限がなく、効果の少ない/望めない対策も「やらない方がいい」とは決して言えず、過剰投資と過少対策の狭間を見極めるのは専門家でも困難。ましてや投資を決定する非専門家においておや。穴は常にあり対策をすれば国家を超えた犯罪者集団は対策を必ず超えてくる。
もう西側世界とそれ以外のインターネットを遮断するしかない。
投稿元:
レビューを見る
2024年8月25日読了。情報セキュリティの「脆弱性」がどのように生まれどうなってきたか、を語る本だがめちゃめちゃ面白い。バットマンとジョーカーのように、情報システムとセキュリティの問題は誕生当初から表裏一体で、今顕在化していないセキュリティ問題は単に「まだ起きていない」だけで、原理的にリスクゼロのシステムを作ることは不可能なのだ、ということが分かる…絶望的な話でもあるが、「犯罪ゼロの社会を作る」ことが不可能であること、人間性に「善」を求めることが不可能であること、に近いのかもしれない。セキュリティについては、価値を産まないこと・セキュリティ対策社のマッチポンプであることについてよく話を聞くが、実際その通り(犯罪者・ハッカー・セキュリティ社が共存共栄する仕組みになっている)と説明されると「アチャー」「それを言っちゃあおしめえよ」という気にもなるな。
投稿元:
レビューを見る
コンピュータの登場から現代にいたるまでの、情報セキュリティが敗北してきた歴史が延々と書かれた本ですが、退屈さは全くなく読み物としても面白いです。どのような課題が見つかり、どうやって対策してきたのか。どのような攻撃を受け、どうして今の対策に落ち着いたのかを知るとセキュリティの見方が変わります。後手後手の対策ではなく、情報セキュリティの課題の根本的解決を目指すためにも、歴史の理解は必要だと思わされるような内容でした。
情報コース3年