Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セキュリティ関係のお勧め本をつぶやいてみた。

年末の大掃除で本を整理していて、古い本を捨てたりしていたのですが、セキュリティ関係の本を久々に手に取る機会がありました。徳丸先生や辻さんの本もお勧めすべきところなのですが、今回は日本の本ではなく、海外(米国)の作者の本で、面白かった(捨てられなかった)ものを5冊ご紹介してみます。

 

セキュリティはなぜやぶられたのか

セキュリティはなぜやぶられたのか

 

この本は良書だと思います。まず最初に「トレードオフのないセキュリティはない」という考え方の元に、5ステップでセキュリティを評価する手法が豊富な事例と共に書かれているのっですが、有効なリスクアセスメントを考える上で、非常に参考になりました。

  • Step1 守るべき資産は何か
  • Step2 その資産はどのようなリスクにさらされているのか
  • Step3 セキュリティ対策によって、リスクはどれだけ低下するのか
  • Step4 セキュリティ対策によって、どのようなリスクがもたらされるか
  • Step5 対策にはどれほどのコストとどのようなトレードオフが付随するか

5つのステップのうち、日本的なリスクアセスメントの視点と違うのは、後半の4-5です。高い壷(セキュリティ機器やサービス)を導入すれば、100%安全ですというセキュリティは存在しない訳ですから、対策導入のデメリットあるいは効果が及ばない所について、目を逸らさずに評価する事は非常に重要です。2007年の本ではありますが、セキュリティをどう考えるのか、基本的なところが多くの方に参考になるのではないでしょうか。

 

アイスマン

アイスマン

 

サイバー犯罪、ブラックマーケット・・・米国を中心に数百億円のクレジットカード偽造被害がどうして発生していたのか、金融業界に携わってはいましたが、当時何が起きているのかまったく分からなかったのですが、FBIが苦労して捕まえるところも含めて、日本だと公開されないであろう、犯罪の裏側が垣間見えます。

私の専門としているPCI DSSというカード業界のセキュリティ基準は、おそらくこの事件を受けて改訂(強化)されています。何故規定が作られたのか?そうした疑問も推測できる内容となっていました。また、初期のブラックマーケットの動きや、金融セクターがハッカーに狙われている事、脆弱性のコントロールが難しい事、ハッカー側の心理など併せて、面白い読み物と言えるかも知れません。

色々な方とお話していて、この内容を把握してない日本のクレジットカード会社、カード業界に携わる方が多い印象です。特にカード業界のセキュリティ担当の方は、お時間あれば一読されることをお勧めします。

 

 

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

 

尊敬するセキュリティ専門家(ジャーナリストといった方が合っている気もしますが)、ブライアン・クレブス氏の著書です。英語版しかありませんので、英語を読める方・・・にしかお勧めはできませんが、今や犯罪の第一段階の主流手段となりつつある、スパムメールについて、その歴史、誰が送っているのか、誰が読んでいて(ブラックマーケットでバイアグラなどを)実際に購入しているのか、スパム業界といっても良いのかも知れませんが、クレブス氏が実際にインタビュー、調査した内容を基にした良書です。セキュリティ担当の方以外は、そう面白みを感じないかも知れませんが、Krebs on Security(クレブス氏のBlog)を定期的に見てる暇が無い方には、米国、いや世界トップクラスのセキュリティ専門家がどんな活動をしているのかを垣間見れますので、流し読みもちょっと大変ではありますが、新しい何かが発見できるのではないかと思います。

 

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

 

 古い本ですが、何度も読み返したくなる本です。「人は最良でかつ最悪のセキュリティ」になると言われています。いくら高いセキュリティ機器を入れても運用する人が無能な場合、犯罪者に襲われてしまうケースもあるでしょうし、従業員が高いセキュリティ意識を持ち運用をしている場合、犯罪被害を未然に防いだり、最小限に抑えることが出来るケースもあります。そうした意味では、古くからのセキュリティ課題ではありますが、ソーシャルエンジニアリング手法を知ることは、お金をあまりかけずにセキュリティを高められるチャンスともなります。日本航空のビジネスメール詐欺(BEC)被害の様に、ソーシャルエンジニアリングと技術的な脆弱性を突いた攻撃も出てきていますが、そのソーシャルエンジニアリングの手法は、本書にある様な手法の変形である気がします。米国の事例が多いのと事例が少し古いのはありますが、一読する価値のある本でないかと思います。

 

超監視社会: 私たちのデータはどこまで見られているのか?

超監視社会: 私たちのデータはどこまで見られているのか?

 

NSA/CIAのエドワード・スノーデン氏が国家による監視体制を暴露したこともありますが、ビックデータがどういう形で調べられるのか、個人のプライバシー保護はどれだけ危ないのか、勝手に進んでいくビックデータ収集とそれに伴う監視社会に啓蒙を鳴らす本といえるかも知れません。セキュリティとプライバシー保護は大きな課題と言えますので、セキュリティに携わる方は、特に米国で何が行われているのか、そうした把握のためにこの本を一読されると良いかと思います。

 

 

 

 

 やっぱり、辻さんと徳丸先生の本もリンク貼っておきます。

あなたの知らないセキュリティの非常識

あなたの知らないセキュリティの非常識

 
徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

 

 

更新履歴

  • 2018年1月7日 PM(予約投稿)