『情報セキュリティの敗北史』を読んだ

コンピュータの発明から現代に至るまでの情報セキュリティ上の大きな事件が紹介されていた。コンピュータの利用者として、セキュリティエンジニアとして思うところがあったので感想を書いておく。

あれもこれも安全が保証されない

本書を読む前からセキュリティインシデントを見るにつけ、安全なシステムを作るのは難しいと感じていた。その認識は本書を読んでより強くなった。人間が作る以上まず間違いなくバグを作り込むことになる。そんな不確かなものに我々は氏名、住所、クレジットカード番号といった情報を預けている。最も進んだ取り組みをしている組織でも脆弱性をゼロにすることは恐らくできない。まして、国家あるいは国家が支援するハッカーの攻撃を受けようものならきっと一溜まりもない。現代でコンピュータシステムを使うならば、あらゆる情報は漏れると思っていた方が良いと思う。そもそも既に漏れているのかもしれない。日頃から漏れては困る情報は電子機器に残さない、漏れると割り切って利用する、クレジットカード・キャッシュカードの利用状況は定期的にチェックする、くらいはやっておくと良さそう。

攻撃手法を学ぶ意味

本書の主張では攻撃手法を学ぶことは安全なコンピュータシステムを作ることには寄与しない、とのことだった。分かるような分からないような。攻撃方法に加えてなぜ攻撃が成立するのかが分かっていれば防御方法も分かるかもしれない、と思う。一方でプロダクトセキュリティエンジニアの素養としては、そこまで尖った攻撃スキルは要らないとも思っている。実際には人とコミュニケーションを取ったり、組織の構造だったりを理解していい感じにルールを敷いていく能力の方が必要だと感じる。個人的には本書を読んだとて資格試験の勉強熱は変わらない。というのも組織のセキュリティ向上に寄与するためだけにやっているわけではないからだ。単に楽しいから、というのが大きい。当分は変わらず学習していくけれども、攻撃者有利な情報セキュリティというゲームでひたすら攻撃方法を学ぶのは、やや空虚な感は否めない。人が作る以上必ずミスは生まれるし、そのミスを突いたところで大して偉いわけではないと思っている。すごいけれど。攻撃手法の勉強に気が済んだら大学で情報セキュリティを学びたい。英語だったり論文が理解できればもっと視野も広がるかもしれない。