プロが教える情報セキュリティの鉄則 の商品レビュー

2018年3月8日読了。マイクロソフト社の技術者による実践的な企業のセキュリティ対策の解説。セキュリティ対策というと、とかく「ファイアーウォール立ててます・侵入できません」で思考停止しがちだが、他人の認証キーを取得してしまえばそれらの対策は全て無意味になってしまう、立てた運用が現場で実践されなければ意味がない、など…。発生しうる脅威を洗い出して経営層を含めて認識し、現実的な対策を立て、多要素認証やシングルサインオンなど技術で対応できるところは技術に任せる、という判断をしないと、「ダブルチェック必須」「台帳を必ず更新しましょう」もいいが、人力に頼る対策だけではだめだよね…ということか。実践もそうだし、自分の考え方も変えていかないといかん。

パスワードに関する箇所で「定期的に変更すること」とあり、宗派の異なりを感じたものの、セキュリティの初学者から、詳しい人まで幅広く読むことができると感じた。暗号化といった機密性に関わる対策よりも、暗号化が無効化されるようななりすましや、可用性に関わる事項への対策の重要性について記載されている。また筆者はセキュリティは部分最適ではなく、横断的俯瞰的に経営上のリスクを捉え、対策を講じられるセキュリティプロフェッショナルが必要であるという立場をとっている。 備忘録として以下を記載する。 「攻撃」とは、「PCを利用しているその人（または管理者）になる」ことである。 「情報セキュリティ」と「サイバーセキュリティ」の違いは、サイバー空間及び意図的脅威がサイバーセキュリティであり、それ以外の物理空間や偶発的脅威も含めて情報セキュリティである。 ID/PWのフェデレーション（WS-Federation、SAML、OAuth/OpenID）による認証基盤の構築が有効である。 「安心」と「安全」の違いを意識し、「安全」なシステムの構築・運用により、「安心」してITを利活用できるようにすることを目指す。「安全」な状態であっても人は「不安」に感じる可能性はあるし、「安心」できても「安全」ではない状態もある。

コンサルティングの現場のあるある的な状況から情報流出の経緯や損害、そして先進的かつ連携技で攻める攻撃側の実態を明らかにし、基礎に立ち返りセキュリティとは何かを論じ、認証基盤からアクティブディレクトリ構築の勘所を具体的かつ分かりやすく説明、さらにはクラウドとの連携方法まで指南するとても実用的な一社に一冊必携の書です。「下位互換の古い機能を使うな、新しいセキュリティ機能はこんなに強固だ。」、「ひとつの防御に頼らず段階的な防御をしよう。」も耳の痛いところですが、とても勉強になりました。

企業や自治体等、数々の現場を見て 技術支援やコンサルティング等を行ってきた セキュリティのプロ２人による共著。 企業等における情報セキュリティの現状を見て どのような課題があるのか、 それらへの対策をするにあたり、 どのような捉え方、考え方をすればよいのかを 丁寧に解説しています。 サイバー攻撃の標的になるのは 組織の規模や知名度に関係なく、 また人為的ミスなどによる情報流出は どこにでも起こりうることで セキュリティ対策をすることの重要性は 理解されつつありますが、 目先の対策をして満足してしまったり 一度何らかの対策をしたら安心してしまい 何年もそのままにしてしまいがちです。 本書では目的を意識し、 さまざまなリスクを一連の流れと見て 段階的に防御をすることで大切なものを守る という考え方に基づき どのような策がとれるかを解説しています。 また、一度対策したからといって安心せず、 状況の変化に応じて 対策も変わっていかなければならないということにも 触れられています。 情報システムが組織の業務に欠かせないものとなっている今、 情報セキュリティは組織全体で取り組むべき課題ですが、 セキュリティ担当者（いなければ情シス部門、 ひとり情シスの場合も）が 提言しなければならないのが現実的なところかもしれません。 情報セキュリティ対策について これから取り組む人、 既に何らかの対策をしている人、 あるべき姿に向けて見直している人、 全ての人の参考となる本だと思います