「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー) | ScanNetSecurity
2024.04.25(木)

「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー)

 『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022年10月12日)をご恵投いただいたので読んでみた。実は原題は「 A Vulnerable System: The History of Information Security in the Computer Age 」でだいぶ印象が違う。

調査・レポート・白書・ガイドライン ブックレビュー
facebookLINE
一田和樹 サイバーブックレーダー「情報セキュリティの敗北史:脆弱性はどこから来たのか」アンドリュー・スチュワート著
一田和樹 サイバーブックレーダー「情報セキュリティの敗北史:脆弱性はどこから来たのか」アンドリュー・スチュワート著 全 1 枚 拡大写真

 『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022 年 10 月 12 日)をご恵投いただいたので読んでみた。実は原題は「 A Vulnerable System: The History of Information Security in the Computer Age 」でだいぶ印象が違う。

 内容はサイバーセキュリティの歴史そのものだった。考えてみると、意外とサイバーセキュリティの歴史についてまとめられた本、特に包括的なものは思いあたらない。

 特定のテーマや地域に限定したものなら、すぐに思いつく。たとえば、アメリカがサイバー空間でぼこぼこにやられた歴史をまとめた「 Dark Territory : The Secret History of Cyber War 」( Fred Kaplan、Simon & Schuster、2017 年 3 月 28 日)や、サイバー犯罪黎明期の RBN ( Russian Business Network )の盛衰を描いた「 Spam Nation : The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door 」( Brian Krebs、Sourcebooks Inc、2015 年 5 月 1 日)などがぱっと頭に浮かぶ。

 特定のサイバー犯罪者に焦点を当てたものは本人が書いたものを含めてかなりある。しかし、本書のようにサイバーセキュリティの歴史全体をおさらいして、その問題点を整理したような本は思いつかない。もちろん私が知らないだけという可能性の方が高いのだけど。

●本書の内容

 本書はコンピュータそのものの誕生から今日にいたるまで(原書の刊行は 2021 年なのでごく最近だ)のサイバーセキュリティの歴史をたどっている。サイバーセキュリティにはさまざまな側面があり、攻撃側、防御側、インシデント、政策など多岐にわたる。

 本書では主として防御側、特に基本的な概念を中心にして攻撃やインシデント、政策などをまとめている。特徴的なのはキイとなった人物に焦点を当てている点だ。

 これまで刊行された多くの本は、ハッカーに焦点を当てることはあっても防御側に焦点を当てるものは、多くはなかった。もちろん、ないわけではなく、黎明期に書かれたクリフォード・ストールの「カッコウはコンピュータに卵を産む」(草思社)は今読んでも実話とは思えないおもしろさだ。コンピュータ・システムの使用料金が 75 セントだけ合わないことを発端に世界的なハッキングを暴くという痛快な冒険譚である。

 脇にそれてしまった。すみません。本書ではサイバーセキュリティ発展をたどりながら、重要な役割を果たした人物とその思想を紹介している。

 日本では誤解されていることが多いのだが、サイバーセキュリティにとって思想や概念設計は非常に重要なものである。しかし、ほとんどの解説書ではこの部分が欠落している。本書は、この点を掘り下げている点はすごくよいと思う。

 たとえば「安全であるとはどういうことなのか」という基本的な概念の定義がなければなにもできないはずだが、実際にはできていない。

 サイバーセキュリティとは複雑性との戦いであり、複雑性には「本質的複雑性」と「偶有的複雑性」がある。本質的複雑性とは避けられない複雑性であるが、偶有的複雑性は人為的なものであるため問題へのアプローチを変えれば減らすことができる。

 たとえば、バッファオーバーフローの問題はプログラマ各人の努力ではなく、コンパイラにその対策を盛り込むことでかなり回避できる。偶有的複雑性は各人の「判断」をとりのぞくことでだいぶ緩和できる。開発者や利用者個人の努力を期待し、奨励するよりも、そのような「判断」がいらないようにすればいいだけの話だ。

 複雑なパスワードを推奨することで使い回しが起きたり、定期的なパスワード変更を推奨することでわかりやすいパスワードを使うようになったりすることもそうだ。

 サイバーセキュリティは歴史的に間違った方向に発展してきたと著者は分析している。たとえば脆弱性がよい例だ。脆弱性を発見する能力とシステムを安全に保つ技術は全く別物だが、脆弱性を発見すれば注目されるし、報奨金ももらえる。全体として問題の暴露の方に多くの金と人が流れる仕組みができあがってしまった。

 これは過去の選択がその後の選択を制限するという経路依存性にはまってしまっているためだ。

 本書は実務や研究にすぐに役立つ本ではないが、それでも最終章は例にあげたような思想や概念の整理を行っており、他書ではあまり見たことのないもので参考になった。今後のサイバーセキュリティのあり方を考えている人には役に立つような気がする。


情報セキュリティの敗北史: 脆弱性はどこから来たのか
¥3,300
(価格・在庫状況は記事公開時点のものです)
Amazon
楽天市場

《一田 和樹》

この記事の写真

/

特集

関連リンク

関連記事

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  3. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  4. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

  5. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン ブックレビュー 記事
TOP