虎の穴開発室ブログ

虎の穴ラボ株式会社所属のエンジニアが書く技術ブログです

MENU

「情報セキュリティの敗北史」 を読んで

技術エントリ

こんにちは、虎の穴ラボの泉です。 今回は「情報セキュリティの敗北史」をご紹介します。

読んだきっかけ

何か情報セキュリティに関する勉強をしようと思い書籍を探していたところ、この書籍を見かけ「敗北史」というタイトルに印象を受けたので読んでみることにしました。 特定の技術や資格取得に特化した書籍は多々ありますが、歴史を振り返るということに焦点を当てた書籍は数が少なく、1冊読んでみることは自身にとっていい経験になると考えました。

書籍情報

項目 詳細
タイトル 情報セキュリティの敗北史 脆弱性はどこから来たのか
著者 アンドリュー・スチュワート 著、小林啓倫 訳
ページ数 408ページ
発売日 2022/10/12
ISBN 978-4-8269-0243-4

全体的な感想

「情報セキュリティの敗北史」はタイトルの通り情報セキュリティの歴史をまとめたものです。コンピュータの誕生から今日までの情報セキュリティの歴史をたどっており、「敗北史」とあるように主に失敗談について解説されています。 現在でも利用されているような考え方やシステムに対しても疑問視しており、所々で考えさせられる内容で勉強になりました。

勉強になった項目

セキュリティに関する研究の歴史

最初にコンピュータと呼ばれるものが誕生したのは1943年に米軍が開発を始めたENIACです。 第二次世界大戦中の軍事目的、主に大砲の弾道計算に利用されていました。 その後、コンピュータはあらゆる用途で利用できると判断され開発が進むにつれて当時できなかった複数人での同時アクセスができるようになりました。 そこでユーザー同士のプログラミング妨害の可能性、見てはいけないデータが見れてしまう可能性などの問題が生じます。

そんな問題に対し軍事企業や米国政府機関、学術機関から代表者が集められ1970年に「ウェア・レポート」と呼ばれる報告書が提出されました。

大規模なソフトウェアシステムにおいては、エラーや異常が完全にないことを検証することは事実上不可能であり、攻撃者がそのような抜け穴を計画的に探し、利用することも考えられる

上記はウェア・レポートの抜粋ですが、当時まだコンピュータウイルスがなかった時代からこの考え方が報告書に記載されていることに驚きです。

また、現代でも情報セキュリティにおいて重要とされているCIA 3要素は、1984年にサルツァーとシュローダーの論文により発表されました。 CIA 3要素とは、「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」のことを指し、頭文字をあわせて「CIA」と呼ばれています。 以下が、それぞれの要素における必要事項です。

  • 機密性:情報が許可を受けた者にだけアクセスができること
  • 完全性:情報を正確かつ完全な状態にしておくこと
  • 可用性:必要なときにいつでも情報が利用可能であること

これらすべてを遵守することが情報セキュリティにおいて重要とされています。 現在ではISMS(情報セキュリティマネジメントシステム)の認証でも必要な事項です。

この通り、現代でも必要な考え方はコンピュータが誕生してからかなり早い段階で出てきていたことがわかります。

情報セキュリティが抱えるジレンマ

以前の情報セキュリティの研究では、正しいセキュリティ判断を下せるようにユーザーを助けることに焦点が当たっていました。 しかし時が経つにつれて、この考え方は間違っているのではないかと本書では記載されています。

コンピュータセキュリティの根本的なジレンマとは、セキュリティを望む人々が、セキュリティを評価・改善するための判断能力に欠けていることを言う。このジレンマをユーザーの教育によって解決しようとする試みは、ほとんど成功していない。従って、ユーザーがより良い選択をできるように手助けするのではなく、単にユーザーの選択肢を減らす方がよいのだ。

確かに、ユーザーは数多くあるセキュリティのリスクに対しすべて対策しなければいけないのに対し、攻撃者は1回でも成功すれば攻撃としては成功してしまいます。 全ユーザーの知識を専門レベルまで上げることは現実的ではないでしょう。 この問題に対するアプローチの例として、Windows PCではWindows Updateで定期的にセキュリティパッチを配布し、半強制的にユーザーにアップデートを促していることを挙げています。

ユーザーがあまり意識することなくセキュリティの対策がされていくのは正しい流れと思う反面、現状ではまだパスワードの設定と管理などはユーザーに任せないといけない部分があったり、ユーザーでないと判断ができないような場面はしばしばあります。 組織として情報セキュリティというものを考える際、システムで強制的にセキュリティ対策をする場面とユーザーに判断をゆだねる場面を切り分けて考えることで組織が抱えているセキュリティリスクというものも見えてくるかもしれません。

最後に

この書籍ではセキュリティリスクに対して「今後どのようにすればよいか」といったような記述はほとんどありません。あくまで歴史を学び、「今後どうすればセキュリティリスクを下げることができるだろうか」を各個人、組織が考えるための足がかりを得ることが本書を読む目的となるかと思いました。 確かに個人や組織単位で抱えているセキュリティリスクはバラバラですし、これといった決まりきった答えがない分野である以上失敗談を歴史から学び解決策を見出すというアプローチはとてもよさそうです。 興味がある方には是非一読いただければと思います。

採用情報

虎の穴ラボでは一緒に働く仲間を募集中です!
この記事を読んで、興味を持っていただけた方はぜひ弊社の採用情報をご覧ください。
toranoana-lab.co.jp