情報セキュリティの敗北史 脆弱性はどこから来たのか

アンドリュー・スチュワート / 小林啓倫

相次ぐ個人情報の大規模漏洩、米・中・露による国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア…


IT社会が急速な発展を続ける一方で、私たちの「情報」を取り巻く状況は日に日に悪化している。
数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けている。
今日の情報セキュリティが抱える致命的な〈脆弱性〉は、どこから来たのか?
コンピュータの誕生前夜から現代のハッキング戦争まで、半世紀以上にわたるサイバー空間の攻防を描いた、情報セキュリティ史の決定版。


【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 受賞】



「私たちが今日直面するセキュリティ問題の多くは、何十年も前に下された愚かな決定によってもたらされた。本書は、ITの黎明期から現代のクラウドコンピューティングに至るまで、情報セキュリティの歴史を完全網羅する」
――ベン・ロスキー (『Computer Security』著者)



「率直に言って、恐ろしい本である。コンピュータネットワークは兵器となり、脆弱なITインフラは国家の安全保障にとって、致命的な脅威となるのだ」
――リチャード・H・イマーマン (アメリカ外交史学会第40代会長)

• カテゴリ: ビジネス・実用
• ジャンル: IT・コンピュータ / IT・Eビジネス
• 出版社: 白揚社
• 電子版発売日: 2022年11月14日
• コンテンツ形式: EPUB
• サイズ(目安): 2MB

[ブクログ · ★★★★★]

投資銀行幹部による情報セキュリティの本。

コンピュータの誕生から今の時代までの情報セキュリティの歴史が紹介されている。コンピュータは1台のコンピュータを2人で一緒に使い始めるようになったときから、セキュリティ問題が生まれたようだ。

[ブクログ · ★★★★★]

情報セキュリティ業界にいる人必読の一書。コンピューターの黎明期から常に存在するバグとセキュリティーホール。セキュリティーは対策は際限がなく、効果の少ない/望めない対策も「やらない方がいい」とは決して言えず、過剰投資と過少対策の狭間を見極めるのは専門家でも困難。ましてや投資を決定する非専門家においておや。穴は常にあり対策をすれば国家を超えた犯罪者集団は対策を必ず超えてくる。
もう西側世界とそれ以外のインターネットを遮断するしかない。

[ブクログ · ★★★★★]

借りたもの。
サブタイトルの「脆弱性はどこから来たのか」が全てを物語っている…情報セキュリティとは敗北の歴史と言える。
敗北の歴史はコンピューターおよびインターネットの歴史そのものだった。
絶望と希望の連続。

セキュリティがなぜ難しいのか？
それは「攻撃者の非対称的な優位性」……潜入する側は1ヶ所だけ穴を見つければいいため。

セキュリティが抱える本質的な問題点…それは過去の決定や設計思想に起因していることを指摘。
これを社会学・経済学の専門用語「経路依存性」を引用して示している。
初期のコンピュータシステムが“信頼”を前提に設計されていたことが今日(こんにち)のセキュリティ問題の根源のひとつだった。
そして技術開発にセキュリティ対策が追い付いていないという構造的な問題、また、インターネットの急速な普及により、セキュリティの専門家が不足、適切な対策をとれていない等……時代を経るごとに問題は複雑多様化している。

情報セキュリティの問題は、コンピュータが誕生した時代にさかのぼる。
1940年代、第二次世界大戦中に開発された初期のコンピューターは主に軍事目的で使用されていた。
そのため、“信頼できる人々だけが使用する”という前提で設計されていた。つまり、悪意を持った人間がシステムにアクセスするという想定がなかった。

そしてコンピューターネットワークの概念が生まれても、それはセキュリティよりも、オープンな情報交換に主眼が置かれていた。
しかし、ネットワークの発展とともに遠隔地からコンピューターにアクセスできるようになったことで、悪意のある人間が不正にシステムに侵入する可能性が出てくる。

1970年代、アメリカ国防総省が特別委員会を作り、情報セキュリティに関する初めての綿密な調査には「システムが大きすぎて守れない」という悲しい結論が書かれた。

1980年代、初期のハッカーたちがセキュリティの脆弱性を探り始めた。この時期、多くの企業や組織が、コンピューターシステムを導入し始めたが、セキュリティに対する認識は依然として低いまま。

1990年代に入るとインターネットが一般に普及。情報革命の幕開けは、同時に新たな脅威の始まり。
初期のコンピュータウィルスはいたずら目的で作られたものが多かったのが、次第に破壊的なもの、個人情報を盗み出すものなど、悪質なものが増えてゆく。
インターネットの商業利用が始まり、金銭的価値を持つ情報がネットワーク上を行きかうようになったため。

2000年代に入ると、社会のインフラとして不可欠なものとなり、セキュリティの重要性も飛躍的に高まったものの、根本的な問題は解決されないまま、新しい技術やサービスが次々と登場し、セキュリティ対策は常に後手に回る状態が続いていく。
この時期、企業や組織のセキュリティ大佐悪の不備が明らかになる。
国家レベルでのサイバー攻撃も顕在化し、情報セキュリティが国家安全保障の重要な要素となってゆく。

著者は情報セキュリティ分野において「3つの汚名」を挙げている。
１．データ漏洩
２．国家によるハッキングがもたらす害
３．「認知的閉鎖」によって生じる機会費用(スタントハッキングによる、セキュリティ障害の根本的な原因を無視し、表面的な発現に焦点を当ててしまうことで、幻の敵を作り出してしまい、幻の敵に勝利しても、それは幻想にすぎない…つまり無駄足)

著者は、サイバーセキュリティ問題、脅威に対抗するためには組織の文化や意識改革が必要不可欠であると説く。技術、心理学、社会学から分析し、社会全体の取り組みが必要である、と。
それには初等教育から、情報リテラシーなどの技術的対策だけでなく、心理的アプローチ…ルールを教えるだけでなく、その理由についてもきちんと説明することが重要である、と提言。
これは終わりのない戦いである、とも。

現在のサイバーセキュリティが直面している課題についても紹介。
サイバー攻撃の手法が高度化・複雑化している。
ランサムウェア攻撃が金銭的被害に留まらず、社会インフラが国家安全保障にまで影響を与えること。
人工知能(AI、ディープラーニング)はセキュリティ対策の強化に貢献する一方で新たな脆弱性を生み出す可能性がある。
人間による監視では見逃してしまうような攻撃の兆候を察知できるが、機械学習を用いたセキュリティシステム自体が攻撃者のターゲットとなる可能性――機械学習を欺くデータを入力し、システムの判断を誤らせる敵対的サンプル攻撃――を指摘。
また、ディープフェイクによるフェイクニュースの拡散についても言及。
…これは人間の心理的なもので技術的なものと違うのでは？とも思ったが、そうした人間の心の隙さえも、“1ヶ所だけ穴”となる……

ゼロデイ攻撃やクラウド化に伴い、防御強化だけではなく、ネットワーク内部の監視強化の必要性を指摘。

この本に。「では具体的にどうすれば良いのか？」という“答え”は書かれていない。そもそも存在していないからだ。
だからこそ、セキュリティは他人事ではなく、多くの人の英知を結集して対策に乗り出さなければならない。

[ブクログ · ★★★★★]

いたちごっこ
当初はインターネットがなかったのでユーザーの切り替えの部分というのが主な戦場だった。
インターネットできてからワームなどに感染するようになったが、ここでいたちごっこでセキュリティレベルやセキュリティハックの技術が互いに向上していく。
しかし契機なのはセキュリティがメインの機能のおまけ的な扱いから一つの独立した価値として扱われるようになったことである。
これによってセキュリティ強化の機運が高まりマシンに対するハッキングはやや歩留まりが悪くなった。
そこで対象になったのが人間である。

人間が要素として含まれるため、心理学や経済学など人間の活動に根差した分野がセキュリティに関わってくると筆者は説く。
そして皮肉にも軍事目的で生まれたコンピューターはいまや戦争の代替手段として直接人を殺さない方法として使用されている。今後この動きはますます活発化していくだろう。そのためかもはや既存のパッチを当てるなど防御面では国家の攻撃には企業ではなく国家でしか勝てず、情報という分野において総力戦の様相を呈している。
よって上記のように他の分野の知見を取り込んだ、セキュリティの本質を見いださなければならないというのが結論。
言うのは容易いが、この本にあるようなこれまで情報セキュリティ分野1本脚でやってきて、事象に引きずられる形で対応策が生み出されてきた歴史を見ると1度挑戦してみなければと思えてくる。

コモンズの悲劇という話が出てくるが、短期的利益を求めて羊を増やすとみんなが真似して牧草地の草がなくなるという話だった。割れ窓理論に通じるものがあるが、移民や犯罪など情報セキュリティ以外の現在の問題に応用可能。

[ブクログ · ★★★★★]

「敗北史」という表記が気になって購入。セキュリティにスポットを当てて歴史を解説していて非常に面白い。

[ブクログ · ★★★★★]

コンピュータが安全であるかの証明は、まさに悪魔の証明そのもの。絶望的な感じもするが、歴史を学ぶことで見えてくるものもたくさんあるし、普通に読み物としても面白かったのでオススメ！

[ブクログ · ★★★★★]

この本はタイトルでもふれているとおり，情報セキュリティについて，歴史的（時系列的）にまとめられています．
本書を読むことで，「今までの情報セキュリティはどの様な変遷を辿ってきたのか」を知ることが出来ます．他方，「では（今後）どうすれば良いのか？」については殆ど触れていません．
本書は，「では（今後）どうするのが良さそうか」を考えるために，「歴史的（時系列的）な当時の事実・現状」の共通認識を得る事が主眼だと思います．
個人的には，本書はサイバーセキュリティ専門家が，本書を読んで，これまでの背景を知る（再確認する）のに適していると思います．
若年層のサイバーセキュリティ専門家は，本書でこれまでの経緯を知り，ベテラン層は，「ああそういう事もあったなぁ」と振り返りつつ，過去の経緯を再確認できると思います．
情報セキュリティは，最新動向に目が行きがちで，本書のような歴史的（時系列的）な内容は少なく，希少価値がある書籍だと思います．

[ブクログ · ★★★★☆]

人の作ったシステムは、そのセキュリティを守るため、パスワードというカードを未だに手放せない。
シャーロック・ホームズの「人が作ったものは、人に解けないはずがない」が、パスワード突破に対して使われていたのが面白かった。

[ブクログ · ★★★★☆]

情報セキュリティの歴史と各時代の課題が分かる。ある脆弱性への対策によって発生した事象は、人間の心理を強く反映したものもあり、なるほどと思うところもある。セキュリティに関心のある方は専門性のレベルにかかわらず一度読んでみると面白いと思う。

[ブクログ · ★★★★☆]

# 情報セキュリティに対して、古来より続く悲しみの歴史を垣間視る

## 面白かったところ

- 人類がなかなかセキュリティ・インシデントに勝てない歴史が面白かった

- 組織としてセキュリティレベルを上げるのは必然だが、それにはコストが相応してかかる。という点が遥か昔から言われていた点

## 微妙だったところ

- 細かく歴史を深ぼってくれたのは良かったが、長かった

## 感想

結局のところ、情報セキュリティは人間にとって直感的に分かりづらく難しいものだと改めて理解した。

ドアの鍵を閉めないと、誰でも侵入できることは幼稚園児にも理解できる。ただ、論理的なコンピューターとなるとなかなか理解が捗らない。

情報セキュリティの知識を教育しようにもコストが掛かるわけで、コストを掛けたところで特別なインセンティブが無い。

この二重苦を乗り越えるための答えを、まだ人類は見つけ出せていないようである。

ソフトウェアパッチを充てることができないターゲットは人間の脳であり、ハッカーたちの的になっている。
この文章を見たときに、我々が知るべき本当の知識とは、情報セキュリティの教養ではなく、人間自身ではないかと改めて胸を打った。