あらすじ
サイバー攻撃の手口が高度化・巧妙化し,ウィルス対策ソフトを代表とする従来の防御策では役に立たなくなったということは,すでに多くの専門家から指摘されているとおりです。しかし,サイバー攻撃だけではなく,内部の不正やうっかりミスによっても情報は流出します。なぜ,こうも情報流出が続くのでしょうか?それは,情報セキュリティに対する目的の誤解,全体感のとらえ方や優先順位の決め方の誤り,科学的なアプローチ不足など守る側の課題が多いことも一因していると筆者は推察しています。そして,より本質的な課題として,担当者が情報セキュリティに関して体系立てて教育されることなく,多くの場合,ほかの業務と情報セキュリティを兼務の形で,悪く言えば片手間で担っている点を挙げられるのではないでしょうか。少し厳しい言い方をすれば,情報セキュリティの不備は以前からありましたが,サイバー攻撃をはじめとした多くの情報流出事故によってその不備があらわになってきたのでしょう。「では,具体的にどうすればいいのか? どのような技術で対策すればいいのか?」という疑問や悩みに解を示すのが,本書の目的です。
...続きを読む感情タグBEST3
このページにはネタバレを含むレビューが表示されています
Posted by ブクログ
パスワードに関する箇所で「定期的に変更すること」とあり、宗派の異なりを感じたものの、セキュリティの初学者から、詳しい人まで幅広く読むことができると感じた。暗号化といった機密性に関わる対策よりも、暗号化が無効化されるようななりすましや、可用性に関わる事項への対策の重要性について記載されている。また筆者はセキュリティは部分最適ではなく、横断的俯瞰的に経営上のリスクを捉え、対策を講じられるセキュリティプロフェッショナルが必要であるという立場をとっている。
備忘録として以下を記載する。
「攻撃」とは、「PCを利用しているその人(または管理者)になる」ことである。
「情報セキュリティ」と「サイバーセキュリティ」の違いは、サイバー空間及び意図的脅威がサイバーセキュリティであり、それ以外の物理空間や偶発的脅威も含めて情報セキュリティである。
ID/PWのフェデレーション(WS-Federation、SAML、OAuth/OpenID)による認証基盤の構築が有効である。
「安心」と「安全」の違いを意識し、「安全」なシステムの構築・運用により、「安心」してITを利活用できるようにすることを目指す。「安全」な状態であっても人は「不安」に感じる可能性はあるし、「安心」できても「安全」ではない状態もある。
