情報セキュリティの敗北史を読み終わった。

おそらく３回は挫折していた情報セキュリティの敗北史。今回、ようやく読み切ることができたので記念カキコ。
せっかく読み切ったので忘れないうちに簡単に思ったことを書いておく。

セキュリティの歴史

歴史自体に焦点をあてたセキュリティ本は少ないんじゃないだろうか。IoTセキュリティとか、ホワイトハッカーとか、セキュリティの基本とか対策とかそういう本は多い気がするけど、インターネットの歴史ではなく情報セキュリティに特化しているものは貴重である。
サイバー戦争終末のシナリオも時系列で進んでいくので歴史っぽくはあるかな。

感想

「ジョニーはなぜ暗号化できないのか」
これはこの本の中に書かれている確か論文？のタイトルなのだけれど、安全なシステムを作っても、使う人がそれをできなければ意味ないよね、という話の中で出てくる。セキュリティはこういう問題が多すぎる。ブラウザで警告画面を出しても、大抵の場合は大丈夫なので警告画面をスルーし、警告画面自体を見たら条件反射で画面を切り替えるようになってしまうとか。
確かに、私はこのパソコンを購入してから幾度となくマカフィーの「パソコンが危険にさらされています！」という警告を無視している。だって、仕事で使ってない限りはウィンドウズディフェンダーで十分って誰かから聞いたし、、ウイルスソフトって入れたら遅くなるって聞くし、、
とまあこんな具合で、合理的な判断をくだしてしまうわけである。一見するとユーザーが悪いといった考えになりそうだが、果たして本当にそうなのだろうか？という問題提起もあった。

そして、最近は攻撃の側面ばかりがクローズアップされすぎているのではないかという問題。
脆弱性を見つけて企業に報告すると賞金がもらえるというバグバウンティに始まり、昨今のセキュリティ業界は防御ではなく攻撃の方に傾きつつあるのではないか。と筆者は述べている。
脆弱性を見つけてパッチをあてるというのはもちろん重要ではあるが、根本的な解決にはならない。もっと考えるべきなのは、どうしたら脆弱性のないシステムを構築できるのか、根本的なところではないのか。情報セキュリティは学術界と実務的なところの情報共有があまりできていないという話もあった。
確かになあ、、個人としても、すごい人たちが本気になればおそらく攻撃は防げないと思うから、検知とかより拡大しないような処置を頑張るしかないのかなあとか素人なりに考えていた。今現状は仕方ないかもしれないが、業界全体的には根本的な解決をできるように考えないといけないんじゃないか、ってこの本を読んだあとは思った。完全に受け売りである。

例えばだけど、プロトコルが昔のセキュリティを考えられていないときに作られたんだったら、もうプロトコルを一新して新しいインターネットを作るとかね。それが現実的じゃないから苦労してるんだろうけどね。
IPv6になったらセキュリティはマシになるみたいな話も聞いたことあるけど、一向にIPv6への移行も進んでないし、、素人目線ですが。もしかしたら進んでるとこは進んでるのかも。どうなんですかね。

時間があれば色々とまとめたいけど、多分当分先になりそう。
とりあえず面白かった。今度は何読もうかな。