『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』2024/4/4
ユージーン・H・スパフォード (著), レイ・メトカーフ (著), & 3 その他
サイバーセキュリティ、およびサイバー防衛の重要性は高まるばかりなのに、多くの誤解や都市伝説にあふれています。この本は、避けるべきエラーを防ぎ、誤った仮定を排除し、研究を損なってしまう人間の認知バイアスに対抗するための心構えやテクニックを教えてくれます。主な内容は次の通りです。
第1部 一般的な問題
第1章 サイバーセキュリティとは何か?
第2章 インターネットとは何か?
第2部 人の問題
第3章 間違った想定と魔法の思考
第4章 誤謬と誤解
第5章 認知バイアス
第6章 逆インセンティブとコブラ効果
第7章 問題と解決策
第3部 状況の問題
第8章 アナロジーと抽象化の落とし穴
第9章 法的な問題
第10章 ツールの都市伝説と誤解
第11章 脆弱性
第12章 マルウェア
第13章 デジタル・フォレンジックと事故対応
第4部 データの問題
第14章 ウソ、真っ赤なウソ、そして統計
第15章 イラスト、図、幻影
第16章 希望を見つける
補章 用語の簡単な説明/略語一覧/参考文献/原注/訳注
*
サイバーセキュリティの分野ではまりがちな「都市伝説」と「誤解」について詳しく解説してくれる本で、とても参考にはなったのですが……正直に言ってこの本、読み進めるのがとても苦しかったです(汗)。「サイバー犯罪は変わり続けるから対応法については学び続けなければならず、サイバーでの不具合が起こったときには一面から見ずに、全体をよく見なければならない(ネット世界だけでなく)」という、とても大事な教訓を多数の事例をあげて語ってくれるので、初心者にとっては最も大事な心構えを学べる本ではあるのですが、それなりにサイバー知識のある人間にとっては……それはそうなんだけど、何とかならないの? とずぶずぶの泥沼をかき分けながら進んでいく気分でいっぱいに……こんな苦しい本をお勧めする気にはなれなかったのですが、本書のタイトルは『はじめて学ぶ最新サイバーセキュリティ講義』なので、少なくとも、これからITの仕事を始める人には、このような状況をきちんと分かってもらう必要があるのだからと自らを叱咤激励して、紹介記事を書くことにしました。
えーと、サイバーセキュリティ世界は「終わりのない底なし沼」状態にありますが、この本は、技術的説明よりも、「人」の認識や判断、行動に関するものが大半なので、ITに関する技術的な知識に乏しい新人の方にも理解しやすく、しかもIT業界として知っておくべき非常に大事なことを教えてくれる本です。
またサイバーセキュリティの泥沼にうんざりしているベテランの方にも参考になる情報は多く、少なくとも新人の指導をするときに役に立つと思います。
全体を通して、大事な教えとして感じたのは……
・問題が起こった時に、見るべき点はネット環境だけではない(社内の人が攻撃者になっていることもある、など)
・リスクはゼロに出来ないから費用対効果でやるしかない
・セキュリティは無力ではないが、コツコツやり続けなければならないし、攻撃を防げないとしても、緩和策は講じるべきだ
*
その他、参考になったことの一部を紹介すると、以下のような感じです。
・部屋に虎がいるときに大事なのは、「誰がドアを開けたか」ではなく、虎を部屋から出す手立てである。(問題が発生したときには、誰かのせいにしても何も解決しない)
・脆弱性は直せない(モジュールは外部利用・再利用するものだし、プログラムに問題がなくても、コンパイラに問題があることもある。)
・脆弱性はなくならない(次々新機能が追加され、新たな脆弱性も生まれ続ける)
・現実のデジタル・フォレンジックは、複雑で大量のデータを相手にするため、完了までに数週間から数カ月の期間を要する。しかも、結果は完璧とはほど遠い。
・セキュリティ評価は「基準を満たした」ことを意味するだけで、安全性を保証するものではない。
・マルウェアの企みに関して「サンドボックス」で確認できることは多いが、マルウェア側も、しばらくの間は動かないなど、本性を現さない工夫をしている(サンドボックスと気づいて退散することもある)。
・ランサムウェアでは……
「(前略)インシデント対応では、できるかぎり迅速に感染したデバイスを隔離し、拡散を防ぐ必要があります。それには、有線無線の接続を外す、共有ドライブ、マッピングドライブを無効にするといった手段があります。バックアップは復旧に欠かせないデバイスなので、これも即座に切り離さなければなりません。」(なおバックアップは、ランサムウェアの手が届ない場所に保存しておく。)
*
などなど。
個人的に特に参考になったのは、攻撃者もちゃんと「費用対効果」を考えているということ。攻撃者は我々のことを綿密に調べ上げて攻撃するよりも、絨毯爆撃的に大勢を攻撃して、そこから「引っかかってくるもの」を待つ方が、効率がいいのです。
またゼロディ攻撃も、攻撃者にとっても高コスト(高い技術力が必要。一回攻撃したら対策されてしまう、など)なのだとか。
……なるほど。ゼロディ攻撃などは防ぎようがないので、どうしたらいいんだろうと絶望的になっていましたが……高コスト攻撃だから、貧乏な一般個人を狙うよりは、お金のありそうな大企業を狙うはずですよね。それに絨毯爆撃っぽい攻撃は、無視すればいいんだし……そう思って、なんとなく気が楽になりました(苦笑)。
この他にも、公共のコンピュータで買い物をしない、サイトごとに異なるパスワードを設定する、ソフトウェアは常に最新の状態に保つ、セキュリティ・システムを使う、必要以上に個人情報を提供しない、初期設定を信じてはいけない(提供者側にとって都合がいい設定になっていることもある)、問題が発生したときでも、まずは落ち着く……などのアドバイスもありました。
『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』……ITを利用している人にとって、大事な心得を教えてくれる本でした。読むのはちょっと大変ですが、みなさんも読んでみてください。
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>