セキュリティに関する都市伝説を次から次へと解明している
基本的にゲンナリしてしまうが、そういうもんだよね、とも思う
第1部 一般的な問題
第1章 サイバーセキュリティとは何か?
ひとつの製品で安全は確保できない
オープンもクローズドもソフトウェアは脆弱なものだが、OSSのほうがより施弱であると認識すること
第2章 インターネットとは何か?
NFT (非代省性トークン)という思も生み出した
第2部 人の問題
第3章 間違った想定と魔法の思考
私は、なんでもかんでもユーザーのせいにするのをやめます
仮想ワンタイム・クレジットカード番号というのに対応しているところもある
99.999パーセントの可用率はコストがかかる
第4章 誤謬と誤解
ログが示すのはヒントであって原因ではない
第5章 認知バイアス
とくに危険な11のバイアス
・行動バイアス
・省略バイアス
・生存者バイアス
・確証バイアス
・選択肯定バイアス
・後知恵バイアス
・利用可能性バイアス
・社会的証明
・自信過剰バイアス
・ゼロリスク・バイアス
・頻度バイアス
そのほかのバイアス
・成果バイアス、現在バイアス、近隣バイアス、松竹梅バイアス、否定バイアス(ダチョウバイアス)、オーラバイアス(ハローバイアス)、ワン・アップマンシップ、アンカリング・バイアス、プライミング、知識バイアス、現状維持バイアス、「イズム」バイアス、自己奉仕バイアス
第6章 逆インセンティブとコブラ効果
「Avoid Harm」(損害を避ける)を大きな指針としているACM(計算機協会)の倫理綱領は大変に参考になります
第7章 問題と解決策
そもそもテクノロジーと人間性の詰め合わせセットであるサイバーセキュリティは、一筋縄ではいかないものです。解決策がひとつしかないこともあれば、たくさんあったり、またはひとつもなかったりします。
基礎研究から生まれたコンピューティング技術は多々あります
第3部 状況の問題
第8章 アナロジーと抽象化の落とし穴
城壁で守られた内部ネットワークと攻撃を受け止める部分との間の緩衝地帯という意味で「非武装」と呼ばれますが、このアナロジーも正しくありません。現実世界のDMZは、そこでは戦闘行為を行わないと当事国同士が約束した地域です。ネットワーク上のDMZ はそれとは正反対に、常に爆撃にさらされています。
その他のサイバーセキュリティで使われるアナロジーの一致点と相違点の例
・ファイアウォール、一致点は危険なネットワークトラフィックを止める、相違点は一部は通過できるように作られている
・ウイルス、一致点は一般的な用語であり、感染や拡大をするというイメージを伝えやすい、相違点は未知の脅威を検知して学習し、自律的に対処する人間の免疫システムのようなものはコンピューターには存在しない
第9章 法的な問題
ネットセキュリティに詳しい法律家に相談
第10章 ツールの都市伝説と誤解
初期設定は最適なセキュリティを保証するものではありません。
第11章 脆弱性
ソフトウェアを最新の状態にしておくことが、いつだって基本中の基本です。
第12章 マルウェア
数年前に行われた研究で、78パーセントのマルウェアが、実行される環境によって挙動を変えていることがわかりました
リバースエンジニアリングもマルウェア解析のツールのひとつにすぎず、完ぺきなソリューションではないのです。
ノーモア・ランサムというグループプロジェクトがあります 。彼らは鍵を回収してデータの復元を助けてくれます。
第13章 デジタル・フォレンジックと事故対応
インシデント対応では、できるかぎり迅速に感染したデバイスを隔離し、拡散を防ぐ必要があります。それには、有線無線の接続を外す、共有ドライブ、マッピングドライブを無効にするといった手段があります。バックアップは復旧に欠かせないデバイスなので、これも即座に切り離さなければなりません。
会社にいちばん大きなダメージを与えられるのは内部の人間です。ある調査報告によれば、データ漏洩の88バーセントは内部の人間の仕業だということです
トロイの木馬弁護術はしぶとく生き続けています。
サイパーセキュリティは終わりのない仕事です。持続可能な活動であることが重要です。
第4部 データの問題
第14章 ウソ、真っ赤なウソ、そして統計
数字のコンテキストが明確にされた統計のみが、役に立つのです。
統計は、ブラックスワン事象には何ひとつ役に立ちません。統計は、何かが起きる確率が大前提であり、確率は、それが起きることを前提とします。思ってもみなかったことが起きると、その連携は崩壊します。前年の結果などをもとに合理的な予測を立てたいときに役立つのが統計です。統計は未来を予言する水晶玉ではありません。正確なこともあれば不正確なこともあります。統計を真実と考えてはいけません。
大損をする恐れがあります。
再現率と精度の両方を高めることはできません。これはバランスの問題です。偽陽性率を高めるか、陰性率を高めるか、または双方の妥協点を探るか、何が重要かによって決めることになります。シーソ一の片方に備陽性、もう片方に偽陰性が乗っている状態を想像してください。
どんなに優発でも陽性は起きる
ML ボックスは、偽陽性率と偽除性率も提示すべきです。この2つの値を示さないMLボックスは、役に立たないばかりか誤解の元になりかねません。
第15章 イラスト、図、幻影
円グラフ(パイチャート)は、細かい情報はわかりません。実際のデータを隠して割合だけを見せたいなら円グラフにお任せです(ただし、常にパイの割合を示す必要があります)。
棒グラフは長さの違いを示すコンテキストが必要
3D表記はわかりにくい
GeoIPは不確かです。
図はとても便利なものですが、限界があることを心に留めておきましょう。
第16章 希望を見つける
本書で紹介した問題は、どれもが正しい知識、考察、合理的な手順で回避や緩和が可能です。
チェックリストは重要
開発者やエンジニアがデザインやコードの検証を行う際に、誤解の有無を確認し合えます。「これで大丈夫かな?」だけでなく、「思い違いはないかな?」と尋ねましょう。
ドキュメンテーション(文書化)は、思い違いを防ぐひとつの手段です。
企業の知識を資料化するツールに、Comfuenceなどのウィキがあります。
適切なドキュメンテーションは重要ですが、資料を作成しただけで落とし穴はふさげません。なぜか?第一に、資料は関連性、即時性、利便性が必要であるからです。第二に、資料は読むべき人に読まれて価値が発華されるからです。全員がその必要性を自覚し、管理可能な分量にまとめておかなければ、ドキュメンテーションは使い物になりません。
メタ対応策
助言その1:一般化しすぎないこと
助言その2:人を第一に考えること
助言その3:落ち着くこと
助言その4:学び続けること
