情報セキュリティの敗北史 の商品レビュー

コンピューティングの発展とそこで発生した様々なセキュリティ・インシデント、ウィルス（マルウェア）の事例、その背景説明を、タイトル通り歴史的時系列で論評する内容。 現状、「セキュリティが確保された」状態になることはない、必ずハッカー（本書では現代においてハッカーはその技術で悪さする人を指す言葉として使っている）が先に行く、人間自体がもっとも脆弱なセキュリティ・ホールである、と結論付けています。 対策しても無駄、どこかに穴はある、むしろゼロディもある、セキュリティ被害のコストと発生確率を考えれば対策はコスト高過ぎる、研修は教育にはならず「した」実績にしかならない、チェックリストは意味がない、などなど、敗北について散々な言いっぷりです。 また、現在は国家レベルでのハッキングがもの凄いレベルで行われているので、標的にされたら太刀打ちできるはずがない、と警鐘？も鳴らしています。 これは我々もセキュリティ話の裏では認識している部分ではありますが、CIAでありNSA（アメリカ国家安全保障局）が一般人のプライバシーまでハックしている事実は、ウィキリークスを立ち上げたスノーデンの動機も理解できるレベルにあります。 （映画『スノーデン』でもこの動機にフィーチャーしていて、なかなか見ごたえありました） 後追いの対処療法では意味がないならどうすればいいのか？ということなのですが、本書では、 ■そもそも脆弱性がない仕組みを作らなくてはいけない。 （OSだけではなく、アプリケーションやコンパイラ、さらにはH/W（の組み込みOS・ソフト）も） ■未来は学べず、過去からしか学べない。（銀英伝のヤンの台詞みたい） ■過去から学び、脆弱性がない仕組みを構築するしかないことを説いています。 （これもコストが膨大に掛かりますが、抜本的な解決策はこれしなかいというスタンス） 目新しい知見が得られたり、セキュリティ対策について学べたりする要素が少ないので、一読するのをお薦めするほどではないかな。

情報セキュリティ業界にいる人必読の一書。コンピューターの黎明期から常に存在するバグとセキュリティーホール。セキュリティーは対策は際限がなく、効果の少ない/望めない対策も「やらない方がいい」とは決して言えず、過剰投資と過少対策の狭間を見極めるのは専門家でも困難。ましてや投資を決定する非専門家においておや。穴は常にあり対策をすれば国家を超えた犯罪者集団は対策を必ず超えてくる。 もう西側世界とそれ以外のインターネットを遮断するしかない。

コンピュータの登場から現代にいたるまでの、情報セキュリティが敗北してきた歴史が延々と書かれた本ですが、退屈さは全くなく読み物としても面白いです。どのような課題が見つかり、どうやって対策してきたのか。どのような攻撃を受け、どうして今の対策に落ち着いたのかを知るとセキュリティの見方が変わります。後手後手の対策ではなく、情報セキュリティの課題の根本的解決を目指すためにも、歴史の理解は必要だと思わされるような内容でした。 情報コース3年

2024年8月25日読了。情報セキュリティの「脆弱性」がどのように生まれどうなってきたか、を語る本だがめちゃめちゃ面白い。バットマンとジョーカーのように、情報システムとセキュリティの問題は誕生当初から表裏一体で、今顕在化していないセキュリティ問題は単に「まだ起きていない」だけで、原理的にリスクゼロのシステムを作ることは不可能なのだ、ということが分かる…絶望的な話でもあるが、「犯罪ゼロの社会を作る」ことが不可能であること、人間性に「善」を求めることが不可能であること、に近いのかもしれない。セキュリティについては、価値を産まないこと・セキュリティ対策社のマッチポンプであることについてよく話を聞くが、実際その通り（犯罪者・ハッカー・セキュリティ社が共存共栄する仕組みになっている）と説明されると「アチャー」「それを言っちゃあおしめえよ」という気にもなるな。

いたちごっこ 当初はインターネットがなかったのでユーザーの切り替えの部分というのが主な戦場だった。 インターネットできてからワームなどに感染するようになったが、ここでいたちごっこでセキュリティレベルやセキュリティハックの技術が互いに向上していく。 しかし契機なのはセキュリティがメインの機能のおまけ的な扱いから一つの独立した価値として扱われるようになったことである。 これによってセキュリティ強化の機運が高まりマシンに対するハッキングはやや歩留まりが悪くなった。 そこで対象になったのが人間である。 人間が要素として含まれるため、心理学や経済学など人間の活動に根差した分野がセキュリティに関わってくると筆者は説く。 そして皮肉にも軍事目的で生まれたコンピューターはいまや戦争の代替手段として直接人を殺さない方法として使用されている。今後この動きはますます活発化していくだろう。そのためかもはや既存のパッチを当てるなど防御面では国家の攻撃には企業ではなく国家でしか勝てず、情報という分野において総力戦の様相を呈している。 よって上記のように他の分野の知見を取り込んだ、セキュリティの本質を見いださなければならないというのが結論。 言うのは容易いが、この本にあるようなこれまで情報セキュリティ分野1本脚でやってきて、事象に引きずられる形で対応策が生み出されてきた歴史を見ると1度挑戦してみなければと思えてくる。 コモンズの悲劇という話が出てくるが、短期的利益を求めて羊を増やすとみんなが真似して牧草地の草がなくなるという話だった。割れ窓理論に通じるものがあるが、移民や犯罪など情報セキュリティ以外の現在の問題に応用可能。

下記は中盤まで、私のこれまでの社会人としての半生、ちょうどこの書籍に書かれているような歴史に沿ったものが大半であるので、興味のない方には飛ばして読んで頂いて構わない。各個人でご理解の上で読んで頂ければと思う。 …幸か不幸か、私は学卒（ちょうどバブル絶頂期、1987年だった事もこれまた…）後、今で言う「IT業界」にその身を投じ、その後8年間（これまたまさに1995年まで）はその業界で、またさらにその後20年ほどは異なる業界のIT部門の担当者として勤務した。その経験から、何もわからない状態からいわゆる「ITビジネス」の大方の部分を学ぶことができてきた様に思う。 時代背景からお分かりのように、私が社会人として働いてきた歴史の経緯は、バブル崩壊を経て、1995年のウィンドウズ95の発売、PCの低価格、汎化、通信回線の充実、携帯電話、スマホ…、というまさにテクノロジーの発展の歴史でもあり、私は雇われの身でありながらも仕事を通じて、それら最先端の情報に「常に高揚感を覚えながら」接することができてきたようにも思う。 その様な経緯であるから、ある程度大枠が見えてきた2000年頃からは、決して誰かに強いられる事なく、OSの新潮流であるとか、データベースソフト、或いは通信回線のプロトコル、ファイアーウォールの原理、実装、等、それなりに大いに興味を持って研究もして来た。また過去に遡って、アラン・チューリング氏の映画をみたり、はるか過去に定義されていた、公開鍵方式、に関する書籍、も読んでみたりしてきた。 また、同時期に、時間をおいて、自分の身の回りに起きた数々の「セキュリティを脅かす」様な事案も忘れられない。特筆すべきはウィンドウズNTサーバー（IIS・ウェブサーバー）を標的として感染を広げた「コードレッド」なるウィルス（本書にも取り上げられている）の存在だった。これは何故だかわからないが、早くからその情報、ウィルスの立ち居振る舞い、がネット上に多々散見され、いわゆる「未知のウイルスに向き合った時のような」恐怖を感じずに対峙することができた。また、その（感染しているか否かの）診断を、やはりネット上で遠隔で操作できるツールを使って把握することができ、私は当時勤務していた会社の親会社（そこのウェブサーバーはすでに感染していた、ちなみに自分が勤務していた会社にはウェブサーバーは無かった）の感染事実を、いち早く（下請けの立場から）報告し、「一部担当者からは」感謝の言葉を頂いたことは忘れられない… 書籍の話に戻そう。この書籍は、コンピュータ黎明期からの当初は緩やかな成長曲線を描いていた技術の発展、それを便利にしようとすればするほど脅かされるセキュリティ事案（の実例）を、緻密な調査と文献の引用に従って、時系列順に詳細に解説してきた書籍である。また、当初は「子供のいたずら」の様な幼稚で理解しやすい、情報漏洩、情報破壊工作、が、やがて全く目に見えない、国家間の戦争、情報収集、あるいは丸見えになっている私たちの個人情報のような「便利なはずのコンピュータ、インターネットの恐ろしい水面下の脅威」について実に興味深く述べられている。これら大半の部分は私が上記に書いた自分の仕事、あるいは私生活とも大いに関わってきていた。 上記に私は「公開鍵方式、に関する書籍、も読んで」と書いたが、その書籍を実は読了していない。なぜなら、表題としては実に興味深かったのだが、あまりにも現実離れしている気がして退屈だったからである。比べてこの書籍は、ひとつひとつのインシデントとでも言うべき出来事を、実に興味深く深入りせずに巧妙なレトリックで紹介してくれている、ため、実に読みやすい。また、そういうひとつひとつの出来事を、時系列的に振り返ることができるタイミング（社会の歴史的にも、私個人的にも）に来ているという事もあるのかもしれない。 私の様な経歴を持つ人なら読んで大いに頷ける部分があるだろう。経歴は違えと、ITというものに少しでも関わりがある、興味がある方には、大いに推薦したい。 追記：最近、このような、「ノンフィクションであり、引用、参考文献、の記載が多い、学術論文の様な、時系列に従った事実の羅列、しかしひとつずつ興味を惹かれる面白さがある」書籍に巡り合うことが多い。いずれブックリストを作成しようと思うが、こういう書籍は、どういったジャンルで呼べばいいのだろう…退屈な歴史書籍などではなく、学術論文でもない（がそれに近い印象はある）。どなたかご存知の方がおられたらご教示頂きたいものである。

# 情報セキュリティに対して、古来より続く悲しみの歴史を垣間視る ## 面白かったところ - 人類がなかなかセキュリティ・インシデントに勝てない歴史が面白かった - 組織としてセキュリティレベルを上げるのは必然だが、それにはコストが相応してかかる。という点が遥か昔から言われていた点 ## 微妙だったところ - 細かく歴史を深ぼってくれたのは良かったが、長かった ## 感想 結局のところ、情報セキュリティは人間にとって直感的に分かりづらく難しいものだと改めて理解した。 ドアの鍵を閉めないと、誰でも侵入できることは幼稚園児にも理解できる。ただ、論理的なコンピューターとなるとなかなか理解が捗らない。 情報セキュリティの知識を教育しようにもコストが掛かるわけで、コストを掛けたところで特別なインセンティブが無い。 この二重苦を乗り越えるための答えを、まだ人類は見つけ出せていないようである。 ソフトウェアパッチを充てることができないターゲットは人間の脳であり、ハッカーたちの的になっている。 この文章を見たときに、我々が知るべき本当の知識とは、情報セキュリティの教養ではなく、人間自身ではないかと改めて胸を打った。

ITパスポート合格レベルの自分でも、多少分からない用語は出てきたものの、楽しく読めた。 子どもの頃には漠然と"インターネットは怖いものだ"と思っていたものだ、いや、実際のところ、アダルトサイトのポップアップから遷移する派手な脅し文句にビビっていたものだ。 IT企業の技術者やアカデミア界の学者たちが築き上げてきたインターネットは、無知で、ちょっとエッチな画像が見たかっただけの少年という脆弱性を抱えていたのだな、、 ユーザビリティとセキュリティのバランスに関する段を読むと、色々と汎用性のあるテーマだと思わせられる。安全性を保ちつつ利便性、スピード、分かりやすさを如何に担保するか、日頃の仕事においても意識したいところである。