AWS認定DevOps Engineer Professionalを取得しました！

先月のブログ更新がおろそかになっていたのは、ゴールデンウィークというのもあるのですが、表題の通りAWS認定資格の受験勉強をしていたからです。 そしてさる5/28に受験してきました。結果は1発合格です！どや。不合格でも無料でもう一回受験できるキャンペーンを利用していたのは内緒だ AWS認定DevOps Engineer Professionalとは何か https://aws.amazon.com/jp/certification/ AWSの資格は多種多様ですが、僕がこれまで取得してきた「ソリューションアーキテクト」がシステム設計に重きを置いたもの、「セキュリティ専門知識」が文字通りセキュリティの専門知識に重きを置いたものに対して、「DevOps」はシステムのプロビジョニング(デプロイ)、運用、管理に重きを置いたものになります。システム開発(Dev)と運用（Ope）が協調する開発手法は今や多くの企業で採用されています。AWSも対応しているサービスを多数提供しており、それらを使ってAWS上でDevOpsを実現できるスキルを保有していることを問うのがDevOps Engineer。Professionalと付いていることから分かるように上位資格になります。 なぜAWS 認定 DevOps エンジニア - プロフェッショナルを取得しようとしたのか ソリューションアーキテクトプロフェッショナルを保持している僕ですが（この資格も今年失効するんだよな…）、現在の会社で稼働しているAWSのシステムはずっと昔に作られたもの。EC2+RDSで作られたクラッシックなアーキテクチャです。しかしさすがに古いので、モダンアーキテクチャでリニューアルしよう、という機運が高まっていることは以前ブックレビューAWSで実現するモダンアプリケーション入門で説明した通り。既に他の人が脱EC2インスタンスを進めてくれているのですが、そうなると単にアーキテクトをモダンにするだけでなく、テストやデプロイについてもなるべく先進的なものとしたい、そのための知識を得なければ、というのが本試験の受験の理由となります。資格取得の理由は大きく分けて二つ「現在保有している知識とスキルを保証する」「その資格の取得を目指すことで知識とスキルを身に着ける」ですが、僕の場合セキュリティ専門知識は前者、ソリューションアーキテクトプロフェッショナルとDevOpsエンジニアプロフェッショナルは後者でした。...

2023, Jun 04   — 

SIMスワップ攻撃に注意するよう社内喚起しました

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人（攻撃者も、セキュリティリスクも）なので。 先日会社のグループウェアでSIMスワップ攻撃についてアナウンスしました。SIMスワップ攻撃（SIMスワップ詐欺、SIMハイジャックなどとも）とはアカウント乗っ取り攻撃の一種です。本人認証で使われていることも多いSMS（携帯電話番号）。電話番号は、SIMカードに紐づいていますが、何らかの形でターゲットに成りすまして自分のSIMカードと交換（スワップ）します。この攻撃が成立すれば、パスワードの初期化（パスワードを忘れた場合、SMSにパスワード初期化のURLが送られるシステムは少なくありません）ができてしまいます。そうすればやりたい放題ですよね。 SIMスワップ攻撃を使って友人のWebサイトをハッキングしてみた 上記記事のように事例自体は2021年には見られましたが、今月（2023年5月）には国内で初めて逮捕の事例が出るなど、国内でも徐々に広がってきています。 スマホ乗っ取る「SIMスワップ」詐欺か　他人装い出金容疑で女逮捕　警視庁 今回の記事のサムネイルは上記記事から引用しています。 このニュースは地元の新聞でも（新聞にすら、とも言えるかもしれません）報道されていました。いよいよ警戒が必要なのでは、と考え社内に展開しました。 例のごとく、いかに一般の人たちにセキュリティの記事を読んでもらうかを工夫しました。このブログでも書いた業務の中でも起こりうる情報漏洩については、当事者意識を持ってもらうために業務の中でも普通にやりそうな事例を実際にクラウド上のドキュメントファイルで体験してもらいましたが、今回は読んでもらうよう、気を引く文章を入れてみました。 「海外で発生した推理小説のような実例も併せて紹介しています、ぜひ読んでください」 この事例とは、セキュリティエンジニア御用達のインターネットラジオセキュリティのアレで紹介された以下の記事。 My phone, my credit...

2023, May 28   — 

【ブックレビュー】AWSの基本・仕組み・重要用語が全部わかる教科書

久しぶりの更新になります。今月末に受験する予定のAWS DevOpes Developers Professionalの最終追い込みをしていまして・・・いや、言い訳ですね。ゴールデンウィーク明けてもちゃんとWebラジオやブログ記事を更新している人たちを見ると、すごいという気持ちでいっぱいです。僕もまたギアを入れ直さないとです。 一応AWS Solution Architect Professionalを所有している僕ですが、今年が取得3年目なので更新が必要となります。 当時は100個を超えたところ、といったAWSのサービスは現在200ほどあるという。多すぎる・・・。そんな進化の早いAmazon Web Servicesを網羅した本が今年発売され、かなり好評だったのでこの度読んでみました。 まず手にとってわかる。分厚い！500ページ以上あります。2023年現在のAWSのサービスをすべて網羅しようというのですから、そうなりますよね。非とつい一つのサービスについても手を抜いておらず、知っていたサービスもより深く知ることができましたし、知らないサービスがたくさんありました。最近AWSは金融機関や医療機関など専門業種に特化したサービスもローンチしており、まず使わないであろうサービスもあり、それをすべて覚えることは資格取得に必須ではないと思います。 しかしこの本を読んで分かったのは、この本は単なるAWSサービスのカタログではないということ。現代のシステムアーキテクチャの主流であるマイクロサービスアーキテクチャやCA型/CP型/AP型のデータベースの特徴とメリデメ、CI/CD、コンテナなどの技術をきちんと説明したうえで、それがAWS内にどのように取り入れられているのかを丁寧に説明しています。渾身の一冊といってよいです。高評価なのも分かります。これからAWSを始める人にはもちろん、ある程度AWSは触っているけど最近の進化にはついていけてない人にも情報収集にぴったりな本です。 ただし技術の世界は習うより慣れよ。この本でAWSの各サービスについて知識を得たら、実際に自分のアカウントでいろいろ触ってみるとさらに理解が深まります。そのための書籍が手元にあるとなおよいでしょう。僕は10年以上前にAmazon Web...

2023, May 21   — 

ドッペルゲンガードメインにご注意を

「ドッペルゲンガードメイン」という言葉をご存じでしょうか。 「ドッペルゲンガー」とは自分とうり二つな分身、もう一人の自分、遭遇すると死ぬ、なんていう話しのネタもあります。 「ドッペルゲンガードメイン」とは、有名なドメインに似た（そっくりの）ドメイン名です。amazon.co.jpではなくanazon.co.jp、gmail.comではなくgmai.comなど。これらのドメインを使って詐欺を図ったり情報を窃取するセキュリティ攻撃のことを差します。 ちなみに、ChatGPTは「ドッペルゲンガードメイン」を理解していませんw 「Doppelganger（ドッペルゲンガー）」とは、ドイツ語で「二重身」を意味する言葉であり、人が自分自身の幽霊的または超常現象的な姿を見る現象を指します。「Domain（ドメイン）」とは、領土または支配領域を意味します。 ドッペルゲンガードメインの概念は、幻想文学やSF作品などで使用されるフィクションの一つであり、実際の歴史的な出来事や現象には根ざしていません。ドッペルゲンガードメインの概念は、歴史を通じて様々な文化の文学や神話で探求された二重性や、重なり合う自己像の概念に遡ることができます。 近年では、ドッペルゲンガードメインは、ビデオゲーム、小説、テレビ番組など、様々な形式のポピュラーメディアで使用されています。これらの作品では、ドッペルゲンガードメインは、同じ能力やスキルを持った自分自身の複製を作成することができる能力として描かれることが多いです。 ドッペルゲンガードメインは、フィクションの概念であるにもかかわらず、自己のアイデンティティ、自己発見、神格化の結果などのテーマを探求するためのプロットデバイスとしてよく使用されます。この概念は、複雑なテーマやアイデアを探求するために作家やクリエイターに独自の方法を提供する、ファンタジーやSFジャンルの中で人気のあるトロープであると言えます。 ドッペルゲンガードメインは古典的な攻撃手法です。フィッシング詐欺の場合サイトを構築する必要はありますが、特別な技術やソフトウェアの脆弱性を必要としません。メールを利用してのドッペルゲンガードメインについては、類似したドメインを購入してメールサーバーを立てるだけです。しかし攻撃手法は巧妙化しており、最近はもはや目視では見分けがつかないドッペルゲンガードメインが使われています。 見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法 Googleの検索結果をもう一度確認してみると、表示されているURLは本物と同一の「https://www.gimp.org/」に見えます。同一URLなら同じサイトにアクセスできるはずですが、上述の通り、最上部のリンクをクリックすると偽サイトにアクセスしてしまいます。この現象が発生する理由について、Redditでは「URLに含まれるアルファベットの『i(アイ)』に見える文字が、実はキリル文字の『і(イー)』なのではないか」と指摘されています ヒューマンエラーに属するドッペルゲンガードメインですが、ヒューマンエラーが理由ゆえに防ぐことは容易ではありません。「気をつける」ではなんの対策にもなりません。前職では「メールを送る時には必ず連絡帳に登録されているメールアドレスをコピペし、手入力しない」などのルールがありましたが、はじめて送る相手のメールアドレスは連絡帳には入っていないこともあるでしょう。楽でかつ確実性がある対策が求められます。 ドッペルゲンガードメインへのメール送信遮断について 法政大学ではよく使うドメインに類似したドメインをフィルタリングすることでメール誤送信を防ぐ施策を取っています。利用者の対策は軽いですが、一方で次から次へと生まれるドッペルゲンガードメインを逐一登録するのはたいへんそうです。GoogleやMicrosoftなどメール機能を提供している会社が悪質なドメインリストを日々収集し、フィルタリングしてくれるとありがたいのですが・・・。 メール誤送信のリスクと対策　-ドッペルゲンガー・ドメインを踏まえて-...

2023, Apr 22   — 

【ブックレビュー】コンテナ物語

今日の記事はセキュリティやコンピュータの話とは異なります。しかし我々ITエンジニアの仕事に必需品となっているDockerコンテナの元の名前となった「コンテナ」に関する話なのでまったくの無関係ではありません（笑） ビル・ゲイツを始め多くの著名人が絶賛しているこの本。コンテナというとITエンジニアの人はDockerをはじめとしたコンテナ技術を連想すると思いますが、この本はその用語の元ネタ、物理的なコンテナにスポットを当てています。港のフェリーに積まれ、JRの貨物列車で運ばれている金属製の箱です。このコンテナがどれだけ世界を変えたのか、という話です。「輸送がどう変わったのか」では終わらない本です、というかそれで終わったらこんなに高評価の本にはならないでしょう。 コンテナのやっていることは単純明快です。頑丈な金属製の箱の中に荷物を入れる、それだけです。この本を読む前にコンテナのメリットを考えれてると良いでしょう。 僕が思いついたのは、「外からの衝撃に強く荷物を壊さず運べる」「寸法が共通企画になれば輸送の際”X型コンテナを○○個”というやり取りで荷物量を共有できる」「荷物を紛失したり盗難したりすることを防げる」などを思いつきました。しかしこの本はその僕の考え「コンテナの物理的メリット」がコンテナの本質ではないとを冒頭からあっさり否定します。「コンテナの価値はそのモノ自体にあるのではなく、その使われ方にある」と書かれています。どういうことでしょう？ まず驚かされたのは現代のコンテナ船はただの輸送船ではなく、トラックさえ通り抜けできる巨大な”工場”であり、その中には少数の乗組員とコンピュータが十万トンを超える製品をベルトコンベア式に荷物の上げ下ろしを行っているということ。波止場の荷物運びは映画の中の存在になっています。無人化、機械化、大量輸送、いずれもコスト削減に寄与します。かつて港湾でかかる費用（荷物の上げ下ろしの作業員の給料、船の滞在費用、保険料などなど・・・）は重たいコストでした。港での労働環境は過酷で排他的、労使に信頼関係はなく殺伐としており最適化には程遠い状態でした。輸送プロセスにおける港湾利用の最適化ーコスト削減、盗難破損対策、時間短縮、処理容量の増加・・・・これらの課題を解決するアイディアこそがコンテナ。 そのアイディアは船を知らない門外漢により提供されました。”トラック野郎”輸送界の風雲児マルコム・パーセル・マクリーン。コンテナという考えは（筆者いわく審議は疑わしいということですが）マクリーンの「荷物を積んだトレーラーそのものを船に載せて運んでしまえばよいのでは？」という考えが発端でした。この考えはコストを根底とするもので、輸送プロセスの改善はあとから付いてくるものでしたが、この考えは革命的でした。なにせ港の非効率な作業をまるごと捨て去ることができるのですから。トレーラーから不要な車輪を取っ払い、”箱”による輸送が始まります。しかし本書にあるように、単に荷物を箱に詰めて輸送するだけであればそれほどのインパクトはありません。コンテナのすごいところは最初にも書いたように、個人の働き方が、地域インフラが、国の社会制度が、そして世界経済が、となにもかもが劇的に変化したことにあります。 マクリーンは終始コンテナの中心で常に先進的な活動を行いますが、それは単なる海運業のコスト削減にとどまらず、地域経済、国際ルール、言ってしまえば人の生活そのものを変えました。著者の持つ豊富なデータと幅広い取材から、コンテナの普及がどれだけ世界に影響を与えたのかを広範囲にわたり紹介している良著です。 コンテナの強みを政府に決定的に認識させたのは（よくある話ですが）戦争でした。ベトナム戦争でアメリカ本土からベトナムに物資を送るに当たり、人とコンテナ双方を積み込む混載船ではロジスティックスが機能しなかったのです。コンテナ用に改修されたベトナムの港は効率化を進めコストを削減。軍に「コンテナは単なる輸送手段ではなく、コンテナリゼーションはシステムである」と認識させます。冒頭に書いた『コンテナの使われ方』こそが本質。これはマイクロサービス化という概念を持つDockerコンテナでも共通です。 僕が生まれたのは静岡県清水市（現静岡市清水区）。僕が生まれる前の清水は港町として大変栄えていました。港には船が来て、岸沿いには多くの工場が立ち並び、清水港線という鉄道も通っていました。港湾労働者は力に自信あり。統制するには相応の力が必要だったのでしょう、清水次郎長がやっていたことはまさにそういうことでした。しかしそれも、コンテナが普及した今では過去の話です。荷物の上げ下ろしはリモート拠点で作業員が遠隔操作しています。それすらAIに置き換わりそうな予感があります。

2023, Apr 15   — 

会社内でのセキュリティ教育ー見えないが見えてしまう編ー

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 業務で使用するアプリケーション、例えばChromeやFirefoxのようなブラウザ、AdobeのようなPDFソフトなどのバージョンアップ情報やEmotetが活動を活発化させた注意喚起などを会社のグループウェアで行っています。本当はこういう情報は僕が発信しなくても能動的に知っていてほしいのですが、誰もがコンピュータリテラシーを持っているわけではないのです。僕が営業リテラシーを持っていないようにｗ 従業員にセキュリティに関心を持ってもらうためにはどういう情報を発信すればよいか、は悩んでいます。セキュリティインシデントはかつてないほど身近なものなのです。エン・ジャパンやドコモの情報漏洩・・・けして他人事に思えません。しかしこのブログでも紹介しているセキュリティに関する本を読んでくれ、とも言えませんし。 そこで、従業員が日常の業務で当たり前のように行っている作業にセキュリティリスクが存在することが分かるような記事を作成して公開しました。テーマは「恐怖！見えないものが見えてしまう」。 Google・Microsoft・Adobeなどの「トリミングツール」で切り取られた画像は簡単に元のデータを復元できるという指摘 上記の記事を参考にして、閲覧権限のみを設定したGoogleドキュメント上に、以下の画像の右半分をトリミングして貼り付けました。 この画像は無料写真素材ページ”写真AC”から拝借しました この画像をGoogleドキュメントにコピペして、別のGoogleドキュメントに張り付け、「画像をリセット」を選択すると左側が見えるようになり、修羅場であることが明らかになります(笑) ちなみに、Microsoft Wordには貼り付けた時点で元の画像が暴かれますし、Googleドキュメントだけの問題ではなく、Wordでも同様他のWordにコピペして画像の「トリミング」を選択すると元の画像が復元できてしまいます。 ちなみにこの話はドキュメント作成アプリケーションだけに留まりませんでした。 Google Pixel、加工前のスクリーンショットが復元できてしまう不具合 加工前画像が復元できてしまう不具合、WindowsのSnipping Toolでも...

2023, Apr 08   — 

【ブックレビュー】ホワイトハッカーの教科書

僕は会社での肩書が「セキュリティエバンジェリスト」（たいそうな肩書をいただいていますが、イメージとしては「セキュリティ担当」で間違いありません）であり、ITエンジニアの中でもセキュリティエンジニアの一部の領域ともいえる「ホワイトハッカー」の活動におんぶにだっこしています。彼らが何をしているかを知りたくてこの本を取りました。 セキュリティに関しては攻撃側は様々なカテゴリ、プロトコルを使用します。そのため同等の技術力を持たないといけない防御側＝ホワイトハッカーも、ネットワークからデータベース、プログラミングからハードウェアなど非常に広い範囲の知識が必要です。エンジニアとしての総合力を必要とします。さらに言えば法律も知っていないといけない。映画にもなったWinny事件やLibrahack事件、Wizard Bible事件など、世の中には「それサイバーセキュリティ犯罪ではないのでは？」と思うものでも法律の解釈が曖昧のため犯罪扱いされてしまうことがあります。そして当然ですが倫理が必要となります。ホワイトハッカーはブラックハッカーと同等のスキルを持っているわけなので、その力を正義にも悪にも使うことができるのです。 この本はホワイトハッカーになりたい人がするべきことを１から７まで順番に解説している分かりやすい本です、まさに教科書。モチベーションを維持する方法などは基本的なことですが、諸学者にとっては良い指針になります。尊敬するエンジニアをフォローして、良い刺激をもらうのはよさそう。自分もそういう人を見つけたい。著者はホワイトハッカーを自称しませんが、彼の教科書的なスキルアップに用いる習慣、Webサービスなどの紹介は特に初心者にとって良い道しるべになると思います。知らないWebサービスやインターネット大学、技術サイトもたくさん紹介されており、著者のIPUSIRONさんはこれらを利活用して優れたホワイトハッカーになっているのでしょう。逆に僕はこの本を読んで「自分の目指す場所はホワイトハッカーではないな」という結論に至りました。 読んだ感想としては「真のホワイトハッカーになるには時間が必要だが、時間は有限である」ということ。現代は時間の奪い合いであり、誘惑にあふれていますからね。一方Udemyをはじめとした学習の助けになるコンテンツもたくさん知ることができました。時間をお金で買うことも重要。

2023, Mar 26   — 

【ブックレビュー】情報セキュリティの敗北史

僕は業務ではセキュリティを担当しているため、セキュリティに関する様々な知識を勉強してきました。しかしそのセキュリティの概念、標準、技術がどのような経緯で生まれたかについては知りませんでした。この本はコンピュータにセキュリティ脆弱性が生まれたその瞬間と、コンピュータ＋インターネットの歴史に伴いどんどん複雑・難解になっていったセキュリティにどう対峙してきたかを歴史を紐解きます。学生時代一番好きな科目が「歴史」だった僕には神本です。セキュリティ担当者でなくても、昨年の尼崎市のUSBメモリ紛失や半田病院のランサムウェアなど、今や我々の身近なニュースとして聞く情報セキュリティリスクについて豊富な比喩をもとに分かりやすく解説しており、読みやすいです。訳者のあとがきも僕の書評よりよほどちゃんとまとまっています(笑) コンピュータを用いてアメリカの軍戦略研究を目的としたランド研究所からすべてが始まります。当初ユーザ:コンピュータは1:1で対峙していました。人が考え、命令を入力するとコンピュータが計算を行う。しかし人が考えている時間はコンピュータの高価なリソースは働いておらず無駄になります。効率化を図るためにタイムシェアリング型のコンピュータが生まれましたが、これがセキュリティリスクの萌芽となりました。つまり「複数のユーザが同時に1つのコンピュータにアクセスできるようになったため、互いのプログラムを妨害したり、観てはいけない機密データが見れるようになってしまった」と。 さらにランド研究所では、研究所のコンピュータが機密業務を行っていない場合は民間にレンタルすることでコストを回収する案が生まれました。しかしそうなると今まで以上に権限の分類・機密性の確保が必要になります。CISSPの勉強でも、”MAC（強制アクセス制御）”は特にCIAのC（機密性）を守るために軍で生まれたセキュリティ施策だと学びましたが、MACの概念はランド研究所で生まれました。その一方で数学者の考えたMACを実現する”ベルーラパドューラモデル”（これもCISSPではお約束ですね）は軍人など規律を守り、命令服従、機密性が高い情報を取り扱うユーザを対象としており、民間でコンピュータを利用する一般人とはギャップがあります。一般人はそのルールが現実に即していないと受け入れてくれません。機密情報を軍関係者ほど取り扱わない民間では情報セキュリティで重視するのはCではなくI（完全性：データが改ざんされないこと）であり、せっかく政府が作った機密がかっちりしたコンピュータを保証する”オレンジブック”の条件を満たしてくれないのです。 そしてインターネットの登場はさらなるコンピュータの可能性とセキュリティ脆弱性を生み出すこととなります。世界で初めてスパムメールを送った人や世界で初めてコンピュータウィルスをばらまいた人が知られているとは。その汎用性から爆発的に普及したUNIXも、セキュリティ脆弱性については重視していませんでした。セキュリティは「正常に動かなかった場合、本来の想定とは異なる使い方をされた場合」に顕在化するものであり、非要件定義であることからどうしても優先度が下がってしまいます。ドットコム・ブームによるバブルの熱狂はさらにセキュリティの優先度を下げ、脆弱性のあるOS、ソフトウェアやブラウザを送り出してしまいます。それは消費者のニーズでしたし、企業がビジネスで成功を収めるのには必須でした。しかしブラウザ戦争やWindows95の大ヒットによりMicrosoftが天下をとり、Microsoft製品が社会のインフラの根幹を担うようになると、Microsoft製品のセキュリティ脆弱性とそれによる損害、対策にかかるコストは大きな問題となります。その結果、2022年1月15日にビル・ゲイツが全社員宛に送ったメモ「信頼できるコンピューティング」にて 「.NETを信頼できるコンピューティングのプラットフォームとして位置付けることが、あらゆる仕事よりも重要であることが明らかになった。」 「もし今、昨日の追加とセキュリティ問題の解決の選択を迫れられることがあるなら、私たちはセキュリティ問題のほうを選択しなければならない」 とセキュリティの重要性と新しいアプローチを求めることとなりました。今から20年前の記事ですが、ITmediaにちゃんと残っていました セキュリティ界隈で名が挙げられる”静的解析”・”ファジングテスト”や”SDL（セキュリティ開発ライフサイクル）”はこのマイクロソフトの信頼できるコンピューティング・イニシアチブの成果だったとは。こうした取り組みによりソフトウェアはセキュアになり、ハッカーやスクリプトキディには攻撃が難しくなってきました。勝った勝った！ ・・・とはなりませんでした。現代ではセキュリティのもっとも重要かつ弱点は「人」であることは知られています。私たちはどうしても簡単なユーザビリティを望みますが、セキュリティを向上させるにはシステムを簡単に使えないようにする必要があります。ハッカーにとってマイクロソフトの一流エンジニアと一般市民、どっちと戦うほうが得かは言うまでもありません。その結果生まれたのが皆さんにも身近な”フィッシング（詐欺）メール”。今から20年前の2003年に存在が言及されました。あるいはこちらも皆さん耳にタコなパスワード問題（弱いパスワード、パスワードの使いまわし）です。これまでユーザブルセキュリティ研究者はパスワードの代替手段を提示できませんでしたが、僕はパスキーの普及に期待しています。2023年は各Webサイトにどんどんパスキーが実装されてほしいです。 iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 エクスプロイトやそれによる国家間のハッキング戦争についての記述もあります。この本は歴史の流れを綴っている本なので詳細については「サイバー戦争」のほうが詳しいです。エクスプロイトを高額で売買する仲介を行う企業は”死の商人”と批判されるのも分かります。ただしかつては脆弱性スキャナーも”子供に銃を与えるようなもの”と言われましたし、脆弱性を見つけて通知するハッカーは”倫理に劣る”と軽蔑されました。すべての物事に対する批判は一面的であり、裏返しの部分があることは認識しないといけません。事実エクスプロイトをセキュリティ企業や国家が買い取ることでエクスプロイトが世間に知られる前にバグにはパッチが当てられ、平和な世界が取り戻されつつあります。しかしその結果、ロマンや知的快楽を得る場所を失ったハッカーたちは「スタントハッキング」という注目を浴びるようなハッキングを行い承認要求を満たすようになります。電車や自動車のような交通手段から、医療機器までがハッキングの対象となりました。それはスキルが必要とはいえ、やっていることは炎上系Youtuberと大差ありません。悲観的な気持ちになります。 またスタックスネットがどのようなプログラムだったかについてはこの本のほうが分かりやすく説明しています。スタックスネットはワームであると同時にAPT攻撃だったのですね。巨大な資本、資金を持つ国家が行うハッキングの破壊力はあまりに暴力的です。もはや普通の情報セキュリティ対策では防御できません。 余談ですが本の中で紹介されていた”割れ窓の寓話”のエピソードはSNS上の詭弁でよく使われる技法なので知っておいたほうが良いと思いました。 さて、ここまで情報セキュリティの歴史ー敗北史を学んだところで、僕らは歴史から学ぶことはあるのでしょうか。テクノロジーの世界の進歩はあまりに早く、問題を解決したかと思うと新たな問題が生まれます。社会の根幹を担うコンピュータにはあまりに多くの分野と交差しており、過去の行いをバッサリと切り捨てることはできません。そして”今現在安全（であるように見える）”ことは”もしかしたら安全でない場所があるかもしれない”（これはセキュリティ担当者が常に心の中で持っている不安です）と同義であり、セキュアを証明するのは困難ですし、リスクを挙げていけば終わりはありません。この本で主張する「セキュリティベンダーやセキュリティ機関が正しい情報を発信していない」という点も注目に値します。僕はセキュリティ担当であり、彼らを当然信頼したいのですが、インターネットラジオ『セキュリティのアレ』で度々言及されるように、彼らも利益を得る必要があり、物事を必要以上に大きく、不安にさせるように見せたりすることはあります。...

2023, Mar 19   —