『すべてわかるセキュリティ大全2016(日経BPムック) 』
日経コンピュータ (編集), 日経コミュニケーション (編集), & 3 その他
150831086AP01N
情報セキュリティの基礎知識、最新の攻撃手法とその対策から技術の詳細まで、セキュリティに関する総合的な情報が、とてもよくまとめられた本です。
第1章のニュース&トレンド編では、日本年金機構の大規模情報流出の詳細とそこから得られる教訓のほか、セキュリティに関する様々な事件がまとめられています。また、事件の紹介だけでなく、対策の取り方についての簡単な解説もあります。有事の際に相談できるIPAの「サイバーレスキュー隊(J-CRAT)」という組織が、2014年7月に発足しているそうです(2015年3月までに107件の相談あり)。
第2章の基礎編では、セキュリティを考えるうえで基本となる脆弱性や暗号と認証などについてイラストを使って分かりやすく教えてくれます。……といっても、決して入門レベルではないので、ある程度、パソコンや情報技術について知っている方を対象としているようですが(汗)、かなり総合的に書いてあるので、分からない部分がある場合は、少なくとも「自分の知識の不足している分野」を知ることが出来ると思います。必要な場合は、その分野の入門書を買って、さらに学ぶきっかけにもなると思います(汗)。
この中の、「安全で覚えやすいパスワード作成法」の中で、「自分が登録しているサイトの重要度に応じてパスワードのランク付けをする」という考え方は参考になりました。
第3章の手口編では、標的型攻撃をはじめとした数々の最新の攻撃手口についての解説があります(かなり背筋が凍りました)。
そして第4章の対策編。個人的には、これが最も参考になりました。ここでは、攻撃手法ごとの対策に加えて、社内での対応訓練や人材育成などの解説があります。
「手軽に実践できるインシデント対応訓練」では、サーバー防災訓練の3ステップでの手法(訓練1:手順書の再確認&ディスカッション、訓練2:単一インデントでの机上訓練、訓練3:実機での模擬訓練)が、紹介されていて、このうちの訓練1と2は、すぐに実行できそうに思えました。「サーバー防災」なんて実施したこともないという組織でも、最初の訓練は「調査とディスカッションによる手順書作り」から始めれば良いと思います。これを毎回違うメンバーの小集団に引き継いでいって何度も行うことで、社員の意識向上とともに「手順書の内容をレベルアップ」させていき、訓練2に進む……というやり方も出来そうな気がします。
最後の第5章、技術編では、セキュリティに関する技術や最新トレンドについての解説があり、これもとても参考になりました。
情報セキュリティについて、とても充実した内容の本です。
会社でネットを利用している方はもちろんのこと、一般の方でも、ネット通販やネット銀行をご利用中の方、スマートフォンなどをご利用中の方は、情報セキュリティと無縁ではありません。ぜひ一度、読んでみてください。
なおこの記事で紹介している本は、『情報セキュリティ大全2016』です。IT関連の本は、変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください(この本は、毎年最新版が出るのかもしれません)。