「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー) | ScanNetSecurity
2022.12.10(土)

「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー)

 『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022年10月12日)をご恵投いただいたので読んでみた。実は原題は「 A Vulnerable System: The History of Information Security in the Computer Age 」でだいぶ印象が違う。

調査・レポート・白書・ガイドライン
一田和樹 サイバーブックレーダー「情報セキュリティの敗北史:脆弱性はどこから来たのか」アンドリュー・スチュワート著
  • 一田和樹 サイバーブックレーダー「情報セキュリティの敗北史:脆弱性はどこから来たのか」アンドリュー・スチュワート著

 『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022 年 10 月 12 日)をご恵投いただいたので読んでみた。実は原題は「 A Vulnerable System: The History of Information Security in the Computer Age 」でだいぶ印象が違う。

 内容はサイバーセキュリティの歴史そのものだった。考えてみると、意外とサイバーセキュリティの歴史についてまとめられた本、特に包括的なものは思いあたらない。

 特定のテーマや地域に限定したものなら、すぐに思いつく。たとえば、アメリカがサイバー空間でぼこぼこにやられた歴史をまとめた「 Dark Territory : The Secret History of Cyber War 」( Fred Kaplan、Simon & Schuster、2017 年 3 月 28 日)や、サイバー犯罪黎明期の RBN ( Russian Business Network )の盛衰を描いた「 Spam Nation : The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door 」( Brian Krebs、Sourcebooks Inc、2015 年 5 月 1 日)などがぱっと頭に浮かぶ。

 特定のサイバー犯罪者に焦点を当てたものは本人が書いたものを含めてかなりある。しかし、本書のようにサイバーセキュリティの歴史全体をおさらいして、その問題点を整理したような本は思いつかない。もちろん私が知らないだけという可能性の方が高いのだけど。

●本書の内容

 本書はコンピュータそのものの誕生から今日にいたるまで(原書の刊行は 2021 年なのでごく最近だ)のサイバーセキュリティの歴史をたどっている。サイバーセキュリティにはさまざまな側面があり、攻撃側、防御側、インシデント、政策など多岐にわたる。

 本書では主として防御側、特に基本的な概念を中心にして攻撃やインシデント、政策などをまとめている。特徴的なのはキイとなった人物に焦点を当てている点だ。

 これまで刊行された多くの本は、ハッカーに焦点を当てることはあっても防御側に焦点を当てるものは、多くはなかった。もちろん、ないわけではなく、黎明期に書かれたクリフォード・ストールの「カッコウはコンピュータに卵を産む」(草思社)は今読んでも実話とは思えないおもしろさだ。コンピュータ・システムの使用料金が 75 セントだけ合わないことを発端に世界的なハッキングを暴くという痛快な冒険譚である。

 脇にそれてしまった。すみません。本書ではサイバーセキュリティ発展をたどりながら、重要な役割を果たした人物とその思想を紹介している。

 日本では誤解されていることが多いのだが、サイバーセキュリティにとって思想や概念設計は非常に重要なものである。しかし、ほとんどの解説書ではこの部分が欠落している。本書は、この点を掘り下げている点はすごくよいと思う。

 たとえば「安全であるとはどういうことなのか」という基本的な概念の定義がなければなにもできないはずだが、実際にはできていない。

 サイバーセキュリティとは複雑性との戦いであり、複雑性には「本質的複雑性」と「偶有的複雑性」がある。本質的複雑性とは避けられない複雑性であるが、偶有的複雑性は人為的なものであるため問題へのアプローチを変えれば減らすことができる。

 たとえば、バッファオーバーフローの問題はプログラマ各人の努力ではなく、コンパイラにその対策を盛り込むことでかなり回避できる。偶有的複雑性は各人の「判断」をとりのぞくことでだいぶ緩和できる。開発者や利用者個人の努力を期待し、奨励するよりも、そのような「判断」がいらないようにすればいいだけの話だ。

 複雑なパスワードを推奨することで使い回しが起きたり、定期的なパスワード変更を推奨することでわかりやすいパスワードを使うようになったりすることもそうだ。

 サイバーセキュリティは歴史的に間違った方向に発展してきたと著者は分析している。たとえば脆弱性がよい例だ。脆弱性を発見する能力とシステムを安全に保つ技術は全く別物だが、脆弱性を発見すれば注目されるし、報奨金ももらえる。全体として問題の暴露の方に多くの金と人が流れる仕組みができあがってしまった。

 これは過去の選択がその後の選択を制限するという経路依存性にはまってしまっているためだ。

 本書は実務や研究にすぐに役立つ本ではないが、それでも最終章は例にあげたような思想や概念の整理を行っており、他書ではあまり見たことのないもので参考になった。今後のサイバーセキュリティのあり方を考えている人には役に立つような気がする。


情報セキュリティの敗北史: 脆弱性はどこから来たのか
¥3,300
(価格・在庫状況は記事公開時点のものです)
《一田 和樹》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. 「セキュリティは日本の経営層が最も投資が必要と考える領域 」Trellix 調査

    「セキュリティは日本の経営層が最も投資が必要と考える領域 」Trellix 調査

  2. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

    7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  3. カスペルスキーが2022年に検知した脅威、ランサムウェア1日9,500件と昨年比2.8倍増

    カスペルスキーが2022年に検知した脅威、ランサムウェア1日9,500件と昨年比2.8倍増

  4. 「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー)

  5. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  6. 76%のマルウェアと91%のエクスプロイトが10ドル未満で販売、ダークウェブ調査

  7. 法人向けセキュリティ市場予測、2027年1兆3,000億円

  8. サイバー空間をめぐる脅威の情勢、ランサムウェアによる被害が右肩上がりで増加

  9. NICTとIPAが「CRYPTREC Report 2021」公開

  10. 最新のSNS利用動向について調査結果を発表、スマートフォンからの利用者数がPCを大きく上回る(ニールセン)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×