あらすじは以下の通り。
本書は、開発者、デザイナー、アナリスト、意思決定を行う人、学生など、プロ、アマを問わずサイバーセキュリティに関係する人たちに向けて書かれています。加えて、サイバーセキュリティに関わっていない人にも役立ちます。テクノロジーに依存しているなら、サイバー防衛と無縁ではいられないからです。あなたもきっと含まれるはずです。
サイバーセキュリティ、およびサイバー防衛の重要性は高まるばかりです。にもかかわらず、多くの誤解や都市伝説にあふれています。本書は、避けるべきエラーを防ぎ、誤った仮定を排除し、予防、調査、研究を損なう人間の深い認知バイアスに対抗するための心構え、ノウハウ、テクニックをわかりやすく説明します。ユーモアに満ちた文体で書かれており、面白く読み進むうちにサイバー防衛の知識が身についていくことでしょう。
「サイバーセキュリティ」というタイトルから難解な技術書を思い浮かべる方がいるかもしれないが、本書を読むにあたってプログラミング等の前提知識は全く必要ない。
企業や個人がコンピュータやネットワークを安全かつ期待通りに動作するよう保ち不正アクセスやデータ改ざん、破壊、消失、窃盗などから身を守るためには、当然ながら技術的な専門知識が必要になる。しかし、知られている技術だけであらゆる攻撃を防ぐことはできない。というのも、技術の進歩に従って攻撃者が使う技術もより多彩で巧妙に変わっていくからだ。
本書には技術的な助言が全く(!)無い。不正アクセス等の攻撃を受けたとき、直接の原因は技術的な欠陥だったとしても根本的な原因はその状態を作った人間の認識・判断・行動であり、技術的な解決策は対症療法に過ぎないことが多い。著者はサイバーセキュリティの文脈で一般的によく見られる根拠の薄い言説(都市伝説)をユーモラスに批判しながら、人間の認識・判断・行動の潜在的な性向と懐疑的思考の重要性を明らかにしていく。
私が本書で紹介される都市伝説の中で気に入っているものは「ファイアウォールがあれば十分」と「自分なんて狙われるはずがない」だ。
まず「ファイアウォールがあれば十分」について。
現実の建造物における防火壁は延焼を防ぐためにあらゆる火を止めるが、サイバーセキュリティのファイアウォールは全てのトラフィックを止めることはなく(そんなことをしたらインターネットを利用できない)、ハードウェアやソフトウェアの機能として一定の規則に従ってトラフィックの良し悪しを判断し「悪い」トラフィックのみを止める。
ファイアウォールが「完璧」に設定されているという無理のある仮定を置いたとしても、それのみに依存するセキュリティには様々な穴がある。ファイアウォールの内側にいる従業員が機密情報を盗むかもしれないし、フィッシングメールや不審なWebサイトをクリックしてしまうかもしれない。電気柵だけでは強盗を退治できないように、ファイアウォールは防御レイヤーの一つの層に過ぎない。
次に「自分なんて狙われるはずがない」について。
多くの人が「自分は価値のあるデータやお金を持っていないから攻撃者に狙われるはずがない」という誤解をしている。この主張は、攻撃者が事前に対象を調査することを暗黙の前提としている。もちろん計画的に標的を選定して攻撃する犯罪者もいるが、それには多くの時間と労力がかかる。
攻撃者からすると、時間や労力を負担するよりも無差別に攻撃した方がはるかに楽で、結果的にその中のどれかが成果に結びつけばよい。直接的にお金にならなくても、コンピュータやネットワークが犯罪者のボットネットに組み込まれて利用される可能性もある。ボットネットを構築する攻撃者はそのコンピュータやネットワークが大企業によって運営されているか個人の所有物かはどうでもよい。
唯一変わらないことは「変わり続けること」であり、自分の身を守るためには自分自身の認識・判断・行動を環境に応じて変化させ続けなければならない。本書で重要視されているのは技術そのものではなく、技術と向き合うための懐疑的思考法だった。
500ページ以上とかなり長い本だが一つ一つの章は短いので、気になったところから読めるのもよい。普段の仕事でセキュリティに関わっていない人にこそ読んでほしい本だ。本書でもたびたび書かれているが、この本を買って配ることが最も効果的な防御策かもしれない。