アウトプット記録

いろんなことをアウトプットします

『入門 サイバーセキュリティ 理論と実験』感想

TwitterのTLで流れてきて気になっていたこちらの本ですが、読者モニターに応募したら当選したので、コロナ社様より提供いただきました。

読者モニターとして、一通り読ませていただいたので感想をまとめます。

筆者スペック

  • 理系大卒
  • 大学時代の研究テーマは暗号関連の研究
  • 現在は情報セキュリティ関連のお仕事

感想概要

  • 情報セキュリティに関する内容がコンパクトかつ網羅的にまとまっており、特定の層にとっては非常に刺さる内容
  • 特に「2.3 セキュリティ対策に向けて」は全読者に理解してほしい
  • 広く浅くではあるので、ここから興味がある分野を深堀りしていくのが良い

本書の想定読者 *1

  • 理工系の大学・大学院生
  • ICT(information and communication technology)システムの構築・運用に携わる方々

本書は上記の2者が主な想定読者とされています。特に前者の理工系の大学・大学院生に対しては非常に参考になる書籍だと感じました。情報セキュリティの知識として最低限知っておきたい情報がコンパクトに纏まっており、12章の章立ても授業やゼミの輪講等の活用が期待できそうです。ちなみに前提知識は必要ない形で設計されているように感じましたが、ネットワーク周りの知識があるとより理解が進むかと思います。(暗号技術に関する数学的準備は詳細にまとめられているがネットワークセキュリティに関するネットワーク関連の知識はやや点在しているように感じたため)

一方で、後者の「ICTシステムの構築・運用に携わる方々」には少し注意が必要だと感じました。前述の通り、最低限知っておきたい知識をつけるために本書は必要十分だとは思いますが、業務への活用という点にはやや疑問が残ります。例えば非情報系の新卒社員を対象とする研修の参考書籍であるならば非常に有効だとは思いますが、既に何らかのシステムに関わっている人がこの書籍から業務に使える知識を求めるのは遠回りになるかと思います(必ずしも間違いとは言えませんが)。したがって、(特に想定読者の後者に該当する方は)本書の目次や内容を踏まえて、本書にどんなことを期待するかを明確にした上で読まれることをオススメします。

本書で書いてあること

  • サイバーセキュリティの重要性、全体像
  • サイバーセキュリティの各話題に対する理論的な仕組みやバックグラウンド
  • 上記を踏まえたブロックチェーンそのものやブロックチェーンセキュリティの知識

本書に書いてないこと

  • 今すぐ使える情報セキュリティのTips
  • CTFで活用できるテクニック
  • 所属する組織や携わるシステムのセキュリティをかんたんに向上させる方法

参考になったポイント

自分が一番唸った内容が「2.3 セキュリティ対策に向けて」節です。ここは本当に情報システムに関わる全ての人に読んでほしいと思います。サイバー攻撃の高度化に伴い、情報セキュリティの重要性が声高に叫ばれるようになりました。限界や対策の考え方も徐々に広まってきているかもしれませんが、情報セキュリティを学んだことがない方にとっては馴染みのない概念だと思います。いわゆる形骸化したセキュリティ対策や無駄なコストもこの誤解や知識不足からくるものなのではないでしょうか。

セキュリティ対策を行うときには、優先度があり、限界があり、コストもあるため、それらを考慮して限られた範囲の中で具体的に何ができるかをしっかりと検討する必要がある。

と本書では語っています。全くそのとおりです。アンチセキュリティソフトを入れれば良い、社員教育をしっかりやっておけばよい、高機能なFWを導入すれば良い…と様々な特効薬を求めますが、それが本当に必要なのか?我社のチョークポイントはどこで、そこが本当に守れているのか?が不明瞭なままだと無駄なコストを払うだけで、実際には全然守れていないことにもなりかねません。この考えを正しく理解するだけでも本書の価値はあると思います。

その他には、「8. ネットワーク侵入防御」「9. 統計的不正アクセス検知」の流れは非常に面白いと感じました。AIやディープラーニングは独り歩きしがちな言葉ですが、それが現実的に落とし込まれている(活用されている)ことを知ることは重要だと思います。データ分析を主にされている方はスパムメールの例でおなじみかと思います。

各章の感想

各章で気になったことをつらつらと書いていきます

1章

権限奪取の一つのやり方としてバッファオーバーフローが挙げられており、それ自体は特に違和感ありませんが、「1.3.2 バッファオーバーフロー」の説明ではその点もう少し補足があっても良いかなと思いました。

DoS攻撃DDoS攻撃だけでもいろいろやり方がありますが、それがないのはページ数の関係でしょうかね。内容は必要十分書いてあるので、致し方なし。

2章

2.1や2.2情報処理安全確保支援士の勉強をするとまず最初に書いてある内容かと思いますが、誰もが知っておきたい内容です。2.3節は前述の通りですが、「2.5 ケルクホフスの原理」*2も重要なことが書かれていますね。

3章

いわゆる初学者向けの情報セキュリティ書籍にはここまでの内容は書かれていないはずなので、その点でも貴重な内容かと思います。「3.5 情報量とエントロピー」まで書かれているのは流石だなと。

4章

学生時代に暗号関連の研究をやっていたので、高機能暗号や耐量子暗号に触れられなかったのは寂しいところです。

6章

「7pay」の不正ログイン時に二段階認証が話題に上がりましたが、似た言葉に「二要素認証」があります。「6.3 認証の強化」節でスペース取って説明されているので正しく理解できそう。

www.itmedia.co.jp

11,12章

内容について言うことはあまりないのですが、やはり位置づけに少し違和感を感じます。ブロックチェーンやそれのセキュリティを理解するために情報セキュリティの知識は必要だという考えは理解できます。

一方で本書で学べる範囲は、ブロックチェーン理解のために必要な知識を大きく上回っています。そのため、ブロックチェーンを学びたい読者にとっては情報量が多いと感じますし、情報セキュリティを学びたい読者にとってはブロックチェーンの内容はやや冗長だと感じました。気になるのは情報セキュリティ+ブロックチェーンを広く学びたい読者へは有用ですが、それがどれだけいるのか?という点です。

目的を明確にといったのはこの点で、広く学びたい方にとっては重要ですが、ブロックチェーンを学びたい、実践的な情報セキュリティを知りたい、方にとってはギャップが生まれてしまうかなと思いました。

全体を通して

Python実装があるのはいいなと思いましたが、Web上にコードが無いのが気になりました。写経も一つの手段と言われればそれまでですが、記載されている実装例にはRSA暗号のnや秘密分散のシェアもあるので、サポートページなりGitHubなりでソースコードがDLできる仕組みがあるととっつきやすいかなと感じます。

各章の感想でこれもあったらな~を色々書きましたが、本書を読んで気になったところを深めていく(自分の必要な知識を更に取得してく)ことができればよさそうです。そのための下地としての基礎知識はこれ一冊で学習できると思うので、情報セキュリティ初学者が「完全に理解した」*3の本として非常に役立つかなと思います。