プロが教える情報セキュリティの鉄則 守り・防ぐ・戦う科学 Software Design plusシリーズ

2018年3月8日読了。マイクロソフト社の技術者による実践的な企業のセキュリティ対策の解説。セキュリティ対策というと、とかく「ファイアーウォール立ててます・侵入できません」で思考停止しがちだが、他人の認証キーを取得してしまえばそれらの対策は全て無意味になってしまう、立てた運用が現場で実践されなければ意味がない、など…。発生しうる脅威を洗い出して経営層を含めて認識し、現実的な対策を立て、多要素認証やシングルサインオンなど技術で対応できるところは技術に任せる、という判断をしないと、「ダブルチェック必須」「台帳を必ず更新しましょう」もいいが、人力に頼る対策だけではだめだよね…ということか。実践もそうだし、自分の考え方も変えていかないといかん。

パスワードに関する箇所で「定期的に変更すること」とあり、宗派の異なりを感じたものの、セキュリティの初学者から、詳しい人まで幅広く読むことができると感じた。暗号化といった機密性に関わる対策よりも、暗号化が無効化されるようななりすましや、可用性に関わる事項への対策の重要性について記載されている。また筆者はセキュリティは部分最適ではなく、横断的俯瞰的に経営上のリスクを捉え、対策を講じられるセキュリティプロフェッショナルが必要であるという立場をとっている。 備忘録として以下を記載する。 「攻撃」とは、「PCを利用しているその人（または管理者）になる」ことである。 「情報セキュリティ」と「サイバーセキュリティ」の違いは、サイバー空間及び意図的脅威がサイバーセキュリティであり、それ以外の物理空間や偶発的脅威も含めて情報セキュリティである。 ID/PWのフェデレーション（WS-Federation、SAML、OAuth/OpenID）による認証基盤の構築が有効である。 「安心」と「安全」の違いを意識し、「安全」なシステムの構築・運用により、「安心」してITを利活用できるようにすることを目指す。「安全」な状態であっても人は「不安」に感じる可能性はあるし、「安心」できても「安全」ではない状態もある。

コンサルティングの現場のあるある的な状況から情報流出の経緯や損害、そして先進的かつ連携技で攻める攻撃側の実態を明らかにし、基礎に立ち返りセキュリティとは何かを論じ、認証基盤からアクティブディレクトリ構築の勘所を具体的かつ分かりやすく説明、さらにはクラウドとの連携方法まで指南するとても実用的な一社に一冊必携の書です。「下位互換の古い機能を使うな、新しいセキュリティ機能はこんなに強固だ。」、「ひとつの防御に頼らず段階的な防御をしよう。」も耳の痛いところですが、とても勉強になりました。