【感想】情報セキュリティの敗北史

# 情報セキュリティに対して、古来より続く悲しみの歴史を垣間視る

## 面白かったところ

- 人類がなかなかセキュリティ・インシデントに勝てない歴史が面白かった

- 組織としてセキュリティレベル…を上げるのは必然だが、それにはコストが相応してかかる。という点が遥か昔から言われていた点

## 微妙だったところ

- 細かく歴史を深ぼってくれたのは良かったが、長かった

## 感想

結局のところ、情報セキュリティは人間にとって直感的に分かりづらく難しいものだと改めて理解した。

ドアの鍵を閉めないと、誰でも侵入できることは幼稚園児にも理解できる。ただ、論理的なコンピューターとなるとなかなか理解が捗らない。

情報セキュリティの知識を教育しようにもコストが掛かるわけで、コストを掛けたところで特別なインセンティブが無い。

この二重苦を乗り越えるための答えを、まだ人類は見つけ出せていないようである。

ソフトウェアパッチを充てることができないターゲットは人間の脳であり、ハッカーたちの的になっている。
この文章を見たときに、我々が知るべき本当の知識とは、情報セキュリティの教養ではなく、人間自身ではないかと改めて胸を打った。続きを読む

「敗北史」という表記が気になって購入。セキュリティにスポットを当てて歴史を解説していて非常に面白い。

コンピュータが安全であるかの証明は、まさに悪魔の証明そのもの。絶望的な感じもするが、歴史を学ぶことで見えてくるものもたくさんあるし、普通に読み物としても面白かったのでオススメ！

ITパスポート合格レベルの自分でも、多少分からない用語は出てきたものの、楽しく読めた。

子どもの頃には漠然と"インターネットは怖いものだ"と思っていたものだ、いや、実際のところ、アダルトサイトのポッ…プアップから遷移する派手な脅し文句にビビっていたものだ。

IT企業の技術者やアカデミア界の学者たちが築き上げてきたインターネットは、無知で、ちょっとエッチな画像が見たかっただけの少年という脆弱性を抱えていたのだな、、

ユーザビリティとセキュリティのバランスに関する段を読むと、色々と汎用性のあるテーマだと思わせられる。安全性を保ちつつ利便性、スピード、分かりやすさを如何に担保するか、日頃の仕事においても意識したいところである。続きを読む

序盤のコンピュータやネットワークの発展の話が興味を惹かれた。CISSPで聞いたような単語や人物が登場しており、まさに情報セキュリティの歴史が綴られていると言える。

情報セキュリティ業界で感じる各種…用語や概念の解釈のブレブレ感にも納得ができる。それはセキュリティの誕生そのものがボトムアップ的かつ経路依存的に生まれ、育ってきたものであるため、体系的に整理されていないから。これは悪いことというより、仕方のないことと言ったほうが腑に落ちる。近しい例を出すとブロックチェーンやWeb3に厳密な定義、完全な共通認識がないようなものに近い。

セキュリティの世界では常にトレンドを追うことが良しとされる。この本は逆で、過去、歴史から学ぶべきだというメッセージを発していることがわかる。言われてみればその通りだと思う。流行り言葉に飛びつくだけでは真の専門家にはなれないだろう。幸い、セキュリティの歴史は1970年代からの約50年と圧倒的に短い。

何を持って安全なのかという問いに答えがない
という指摘はその通りかつ、今後も向き合わなければいけない問題だろう。
"ファイアウォールを入れよう"といったセキュリティベンダのポジトークには反証可能性が無く、聞き手は「それは本当に必要なのか？」の判断に迷う。結果、過度なセキュリティ対応による過剰投資や機会費用を生み出す。

読後感の端切れの良さはあまり感じない。これは筆者が指摘する情報セキュリティに賢者の石はないという話に通じるからだろう。


ーーーーー

ペネトレイト　and パッチ
→いわゆるペネトレ
→網羅性の確保ができないという点で課題。
　テスターの腕が良くないかも。
　脆弱性がゼロであることは証明できない。


CISSPだけで見かけた用語や概念がたくさん。
ベル・ラパドューラ
MAC
リングモデル

「システムが安全であるとは何か」→根本的と問い

理論的・学術的な世界⇄物理的・現実的な世界

昔のコンピュータは高価で、共有して使うものだった→セキュリティクリアランスの異なる人同士がコンピュータを使用するときの権限の越境が問題視。冷戦時代の軍が積極的にコンピュータを使っており、これはシビアな問題。→セキュリティの萌芽
さらに、境界防御では無くマルチレベル・マルチユーザの制御というホストレベルのセキュリティが最初の焦点だったとわかる

コンピュータの小型化、民間への普及。セキュリティは実装コストの割に市場のニーズは無く、後回しに。そのまま1990年へ。。

1957年10月、ロシアが人工衛星スプートニクの打ち上げに成功→アメリカパニック。ARPAに宇宙開発、ミサイル戦略の指揮の指示→ARPAは直接研究者を雇っておらず各学術機関とコミュケーションをとる形の組織→組織感のスムーズな連携に関心

ランド研究所のポールバラン
→核攻撃を受けても反撃できる能力を維持するにはどこかがやられても断絶しないネットワークが必要
・断片の集合が全体を構成する
・断片はパケットという小包、共通規格でおしゃべりをする

世界初のコンピュータウイルス(ワーム)
1988年11月2日、コーネル大学

ファイアウォールのあとにWebの登場。

HTTPをおしゃべりできるWebサーバは1990年12月にCRENで産声を上げた。

FUD 恐怖・不確実性・疑念

ハッカーとセキュリティ企業は共生関係にある。マルクスも「ハッカーは犯罪を生産する。それが刑法を、犯罪防止ノウハウを、防犯ビジネスを刺激する」という旨の技術を残している。
→FUDを煽る、FUDの解決策を生むというある意味マッチポンプ

パッチチューズデー
→エクスプロイットウェンズデー

セキュリティを軽視したオラクル、本気で取り組んだMicrosoft、二項対立
Microsoftは2000年代からSDLCを意識
一方アップルは当時からそもそもセキュアな製品を作っていた。

スタントハッキング :
センセーショナルなハッキング対象や手法で、実際的・実用的ではないが目立つハッキング手法。ハッカー個人や企業の知名度向上、リクルーディング、仕事の獲得が狙える。

APT1→中国軍、米国から機密情報の盗み出し。持続的で執拗な攻撃。

「完璧さとは、これ以上追加するものがないときではなく、これ以上取り除くものがないときに実現する」

情報セキュリティのCIAは50年近く前に登場した概念。私たちはいまだにセキュリティの入門としてまず教えられる。しかしこれは情報汚染や偽情報といった現代で気にすべき観点はこぼれている。続きを読む

「パッチ・チューズデー」に「エクスプロイト・ウェンズデー」。そんな流れがあったのか。。（今もあるのかもしらんが）

歴史を紐解いてそこからの学び・教訓を示すのかと思いきや、意外とオチがなかったりして、…ますます混迷を深めるサイバーセキュリティ。。。という読後感。

2021年の原書の発刊時点では起こっていなかったウクライナ禍ですが、訳者あとがきではしっかりフォローアップされていました。続きを読む