この連載は、セキュリティエンジニア、セキュリティリサーチャー、脆弱性診断員、ペネトレーションテスター、マルウェア解析者、セキュリティコンサルタント、プリセールスなど、セキュリティ業界のさまざまなキャリアを目指す有為の若者に、現場の第一線で活躍する先輩たちが、学生時代やキャリア初期に是非読んで欲しい本を推薦します。
第一回、NRIセキュアテクノロジーズ株式会社の小田島さんによる「計算機基礎編」、第二回目、MBSD 診断チームによる「セキュリティ診断部門新人向け」につづく今回は、株式会社ソリトンシステムズのエバンジェリスト 荒木粧子さんに、4月から初めて社会人としてセキュリティ業界でキャリアをスタートした方へ向けて、荒木さん渾身の3冊を推薦してもらいました。
--
● 1 冊目「セキュリティの神話」John Viega 著 葛野 弘樹 監訳 夏目 大 訳 ( PDF版 )
" ある製品が「インチキ」かどうかは、宣伝の仕方で決まることが多い。概して、ベンダは、「これを買えばもう安心」とユーザに思わせたがる。購入する側にも、実際にはそうではなくても、安心なのだと信じたい気持ちがある。それによって、余計に危険な状態に陥ってしまうこともあるのだ。"
「 18 章 善意のベンダの製品が「インチキ」ということもある」より
小難しい説明を省いて、その製品を導入すれば安心なのかどうか、0 / 1 で教えてほしいというユーザからの無言の圧力を受けることもしばしばあります。営業・マーケティングチームからは、もっとインパクトのある、単純化したメッセージにしてほしいと要望を受けます。
しかし、100 % 防御できる製品はありません。そんな当たり前のことまで嘘をついて、見せかけの安心を売る必要はないと、勇気をくれる 1 冊です。
嘘を付きたくなければ、技術的背景を勉強して、その製品で何が出来て何が出来ないかをきちんと理解する必要があります。どの製品であってもそれは変わらず、出来ないことを出来ると言わなければ良いだけなのですが、刻々と脅威状況が変わる今日、そんな単純なことですら難しくなっていると感じます。悪意がなくても、正しい知識がないと、誤った宣伝をしてしまうこともあります。
セキュリティ業界に身を置く若者たちには、見せかけの安心を売らず、良い仕事しようと努力していらっしゃる先輩がたくさんいることを忘れないでほしいと思っています。
なお、原著は 2009 年、和訳版は 2010 年発刊のため、技術的な内容は古くなっているのでご注意ください。セキュリティ業界に 10 年以上いらっしゃる方々には、懐かしい思い出が詰まった 1 冊でもあると思います。
● 2 冊目「INSPIRED 熱狂させる製品を生み出すプロダクトマネジメント」Marty Cagan 著 佐藤 真治/関 満徳 監修 神月 謙一 翻訳
本書は、オンラインで第1部と第2部を読むことが可能です。
Inspired 日本語版 How To Create Products Customers Love
https://inspiredjp.com/toc/
" プロダクトマネージャーの役割は、エンジニアリングチームが作り上げるべき製品を詳細に定義することである。これに対して、プロダクトマーケティングの役割は、世界に対して製品を語ることである。この 2 つは全く違う仕事である。"
「第2章:プロダクトマネジメントとプロダクトマーケティング」より
セキュリティ業界であっても、製品・サービスの企画・開発に関わるならば、一読をお勧めしたい1冊です。
日本ではまだ、プロダクトマネジメントとプロダクトマーケティングが混同され、プロダクトマネジメントの重要性が理解されないことも多いため、この本を読むと、理想と現実の違いに愕然とする方もあるでしょう。しかし、ここに出てくるような、ワクワクするようなものづくりを目指していれば、担当外なのに本質を見抜いて良い意見をくれる同僚や、製品を育ててくださる素晴らしいユーザに出会い「製品を見出す」チャンスが増えるかもしれません。
国産のセキュリティ製品・サービスの企画・開発に携わる若手がもっと増えますようにという願いをこめて、セキュリティとは直接関係はないですがご紹介します。
● 3 冊目「影響力の武器: なぜ、人は動かされるのか」ロバート・B・チャルディーニ 著 社会行動研究会 翻訳
ここまでで、もう十分お腹いっぱいなのではないかと思うのですが、案外知られていないようなので、3 冊目はこの名著をご紹介します。
" より効率的になるために、豊富な情報を土台とした時間をかけて行う洗練された意思決定から、より自動的で原始的な、単一の特徴だけに頼る反応へと後退することがあります。
(省略)
承諾するかどうかきめるとき、私たちは、返報性、一貫性、社会的証明、好意、権威、希少性という要因をあれほど頻繁に、そして自動的に採用するのです。"
「第8章てっとり早い影響力 - 自動化された時代の原始的な承諾」より
サイバー攻撃により甚大な被害を受けたケースでは、何かしらのソーシャルエンジニアリングが行われていることが多いのですが、それは人間が最も脆弱で攻略しやすいポイント(Weakest Link)だからです。どんなに素晴らしい防御システムも、「人間」という脆弱性を軽視すると砂上の楼閣になる可能性があります。
ソーシャルエンジニアリングを上手く使ったサイバー犯罪の横行、国家を背景としたサイバープロパガンダの増加を鑑みても、私たち人間がいかに騙されやすいのか、どのように誘導されてしまうのかを理解することは意味があると考えています。
実験社会心理学者のチャルディーニ博士によるユーモアにあふれた文体は、読み物としても楽しめると思います。たまには技術書とは違う 1 冊で、心理学的洞察に触れてみてはいかがでしょうか?
株式会社ソリトンシステムズ
IT セキュリティ事業部 / Soliton-CSIRT
エバンジェリスト
荒木 粧子(あらき しょうこ)
ネットワーク侵入検知・防御、検疫ネットワークの設計・提案にエンジニアとして関わった後、製品マーケティングを経て、現在は自社開発製品のマネジメント、兼 Soliton-CSIRT として、幅広くセキュリティ関連業務に従事。2012 年 4 月にプロダクトマーケティング部部長、2016 年 1 月より現職。
ISACA 東京支部 CISM 委員会 副委員長 / JNSA CISO 支援 WG メンバー / MWS(マルウェア対策研究人材育成ワークショップ)2018 - 2019 企画委員など、セキュリティコミュニティにも関わる。
出身は神戸、上智大学心理学科卒。
