情報セキュリティの敗北史 の商品レビュー

# 情報セキュリティに対して、古来より続く悲しみの歴史を垣間視る ## 面白かったところ - 人類がなかなかセキュリティ・インシデントに勝てない歴史が面白かった - 組織としてセキュリティレベルを上げるのは必然だが、それにはコストが相応してかかる。という点が遥か昔から言われていた点 ## 微妙だったところ - 細かく歴史を深ぼってくれたのは良かったが、長かった ## 感想 結局のところ、情報セキュリティは人間にとって直感的に分かりづらく難しいものだと改めて理解した。 ドアの鍵を閉めないと、誰でも侵入できることは幼稚園児にも理解できる。ただ、論理的なコンピューターとなるとなかなか理解が捗らない。 情報セキュリティの知識を教育しようにもコストが掛かるわけで、コストを掛けたところで特別なインセンティブが無い。 この二重苦を乗り越えるための答えを、まだ人類は見つけ出せていないようである。 ソフトウェアパッチを充てることができないターゲットは人間の脳であり、ハッカーたちの的になっている。 この文章を見たときに、我々が知るべき本当の知識とは、情報セキュリティの教養ではなく、人間自身ではないかと改めて胸を打った。

ITパスポート合格レベルの自分でも、多少分からない用語は出てきたものの、楽しく読めた。 子どもの頃には漠然と"インターネットは怖いものだ"と思っていたものだ、いや、実際のところ、アダルトサイトのポップアップから遷移する派手な脅し文句にビビっていたものだ。 IT企業の技術者やアカデミア界の学者たちが築き上げてきたインターネットは、無知で、ちょっとエッチな画像が見たかっただけの少年という脆弱性を抱えていたのだな、、 ユーザビリティとセキュリティのバランスに関する段を読むと、色々と汎用性のあるテーマだと思わせられる。安全性を保ちつつ利便性、スピード、分かりやすさを如何に担保するか、日頃の仕事においても意識したいところである。

序盤のコンピュータやネットワークの発展の話が興味を惹かれた。CISSPで聞いたような単語や人物が登場しており、まさに情報セキュリティの歴史が綴られていると言える。 情報セキュリティ業界で感じる各種用語や概念の解釈のブレブレ感にも納得ができる。それはセキュリティの誕生そのものがボトムアップ的かつ経路依存的に生まれ、育ってきたものであるため、体系的に整理されていないから。これは悪いことというより、仕方のないことと言ったほうが腑に落ちる。近しい例を出すとブロックチェーンやWeb3に厳密な定義、完全な共通認識がないようなものに近い。 セキュリティの世界では常にトレンドを追うことが良しとされる。この本は逆で、過去、歴史から学ぶべきだというメッセージを発していることがわかる。言われてみればその通りだと思う。流行り言葉に飛びつくだけでは真の専門家にはなれないだろう。幸い、セキュリティの歴史は1970年代からの約50年と圧倒的に短い。 何を持って安全なのかという問いに答えがない という指摘はその通りかつ、今後も向き合わなければいけない問題だろう。 "ファイアウォールを入れよう"といったセキュリティベンダのポジトークには反証可能性が無く、聞き手は「それは本当に必要なのか？」の判断に迷う。結果、過度なセキュリティ対応による過剰投資や機会費用を生み出す。 読後感の端切れの良さはあまり感じない。これは筆者が指摘する情報セキュリティに賢者の石はないという話に通じるからだろう。 ーーーーー ペネトレイト　and パッチ →いわゆるペネトレ →網羅性の確保ができないという点で課題。 　テスターの腕が良くないかも。 　脆弱性がゼロであることは証明できない。 CISSPだけで見かけた用語や概念がたくさん。 ベル・ラパドューラ MAC リングモデル 「システムが安全であるとは何か」→根本的と問い 理論的・学術的な世界⇄物理的・現実的な世界 昔のコンピュータは高価で、共有して使うものだった→セキュリティクリアランスの異なる人同士がコンピュータを使用するときの権限の越境が問題視。冷戦時代の軍が積極的にコンピュータを使っており、これはシビアな問題。→セキュリティの萌芽 さらに、境界防御では無くマルチレベル・マルチユーザの制御というホストレベルのセキュリティが最初の焦点だったとわかる コンピュータの小型化、民間への普及。セキュリティは実装コストの割に市場のニーズは無く、後回しに。そのまま1990年へ。。 1957年10月、ロシアが人工衛星スプートニクの打ち上げに成功→アメリカパニック。ARPAに宇宙開発、ミサイル戦略の指揮の指示→ARPAは直接研究者を雇っておらず各学術機関とコミュケーションをとる形の組織→組織感のスムーズな連携に関心 ランド研究所のポールバラン →核攻撃を受けても反撃できる能力を維持するにはどこかがやられても断絶しないネットワークが必要 ・断片の集合が全体を構成する ・断片はパケットという小包、共通規格でおしゃべりをする 世界初のコンピュータウイルス(ワーム) 1988年11月2日、コーネル大学 ファイアウォールのあとにWebの登場。 HTTPをおしゃべりできるWebサーバは1990年12月にCRENで産声を上げた。 FUD 恐怖・不確実性・疑念 ハッカーとセキュリティ企業は共生関係にある。マルクスも「ハッカーは犯罪を生産する。それが刑法を、犯罪防止ノウハウを、防犯ビジネスを刺激する」という旨の技術を残している。 →FUDを煽る、FUDの解決策を生むというある意味マッチポンプ パッチチューズデー →エクスプロイットウェンズデー セキュリティを軽視したオラクル、本気で取り組んだMicrosoft、二項対立 Microsoftは2000年代からSDLCを意識 一方アップルは当時からそもそもセキュアな製品を作っていた。 スタントハッキング : センセーショナルなハッキング対象や手法で、実際的・実用的ではないが目立つハッキング手法。ハッカー個人や企業の知名度向上、リクルーディング、仕事の獲得が狙える。 APT1→中国軍、米国から機密情報の盗み出し。持続的で執拗な攻撃。 「完璧さとは、これ以上追加するものがないときではなく、これ以上取り除くものがないときに実現する」 情報セキュリティのCIAは50年近く前に登場した概念。私たちはいまだにセキュリティの入門としてまず教えられる。しかしこれは情報汚染や偽情報といった現代で気にすべき観点はこぼれている。

「パッチ・チューズデー」に「エクスプロイト・ウェンズデー」。そんな流れがあったのか。。（今もあるのかもしらんが） 歴史を紐解いてそこからの学び・教訓を示すのかと思いきや、意外とオチがなかったりして、ますます混迷を深めるサイバーセキュリティ。。。という読後感。 2021年の原書の発刊時点では起こっていなかったウクライナ禍ですが、訳者あとがきではしっかりフォローアップされていました。

　情報セキュリティというと、新たな脆弱性情報や攻撃手法等の最新動向を日々フォローアップするとのイメージが強いが、そればかりでは“対症療法”に陥るおそれもある。 　本書は、情報セキュリティがどのような経過、変遷を辿ってきたのか、その歴史を振り返ることで、どうして今のような状況になっているのかを理解すること、それが迂遠のようだが今後どうしたら良いのか考える道標となる、そのような問題意識の下に書かれている。 　1940年代コンピュータの登場以降の代表的な出来事を改めて学ぶことができるし、技術的な問題のほか、心理学、行動経済学的な視点からの分析もあり、啓発されるところ多い、興味深い書だと思う。

この本はタイトルでもふれているとおり，情報セキュリティについて，歴史的（時系列的）にまとめられています． 本書を読むことで，「今までの情報セキュリティはどの様な変遷を辿ってきたのか」を知ることが出来ます．他方，「では（今後）どうすれば良いのか？」については殆ど触れていません． 本書は，「では（今後）どうするのが良さそうか」を考えるために，「歴史的（時系列的）な当時の事実・現状」の共通認識を得る事が主眼だと思います． 個人的には，本書はサイバーセキュリティ専門家が，本書を読んで，これまでの背景を知る（再確認する）のに適していると思います． 若年層のサイバーセキュリティ専門家は，本書でこれまでの経緯を知り，ベテラン層は，「ああそういう事もあったなぁ」と振り返りつつ，過去の経緯を再確認できると思います． 情報セキュリティは，最新動向に目が行きがちで，本書のような歴史的（時系列的）な内容は少なく，希少価値がある書籍だと思います．