おそらくコンピュータ・クラッカー(ハッカー?)としては世界一有名ではないかと思われるケビン・ミトニック氏の著書。
クラッカーとしての経験を活かして、攻撃から守ることを指南している。
大泥棒がセコムのような警備会社を経営するようなものだが、こういったことは米国ではよく聞く話だ。クラッカーの人たちが技術を活かして、大企業のセキュリティ・コンサルタントを行うなどといったことは。
本書は新しくない。2003年6月に発行されているから、実に4年以上も前のものだ。コンピュータの世界では4年前といえば、技術的なところでは全然違っていた時代であり、一昔前のこと。
しかし、本書が題材としているのは、技術的なことではなく、ソーシャル・エンジニアリング、つまり人をいかに騙してコンピュータに侵入するかというところ。
そういった観点ではこの本の内容は全然古くないし、4年経った今でも多くの大企業が参考にしなければならないことが多い。目新しいことがあるわけではないのだが、例が多く、しっかりと現実的な対策が書かれているので、企業の情報システム部門には虎の巻になると思う。僕も読みながら、うちの会社の中に広めたいと思ったし、僕自身も反省しなければいけないことが多々あった。
久しぶりにこういったセキュリティ系の本を読んだので面白かったんだが、最後のところはちょっとダラダラとした内容だったので、マイナス1の★★★★☆。
- 作者: ケビン・ミトニック,ウィリアム・サイモン,岩谷宏
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2003/06/21
- メディア: 単行本
- 購入: 9人 クリック: 98回
- この商品を含むブログ (100件) を見る
僕のようなコンピュータ・セキュリティをやっていて、ソフトウェアを開発している人間が言うのもおかしな話なのだが、コンピュータを技術でいかに守ろうとしても限界は非常に低い。それの技術を使う人間が全然使いこなせていなかったり、悪意を持っていたら、それはもうどうしようもない世界。
今は折りしも日本版SOX法などで「内部統制」が叫ばれている時代。いろんなソフトウェア製品がここぞとばかりに各社から出されているが、本質はそんなことじゃないんだよね。人・社員をいかに教育するか、いかに会社に忠実にさせるかということを考えることが大事。しかし、これは100%完璧にできることはない、そんなことは不可能なこと。ということは、自然とコンピュータを100%防御することは不可能だし、内部統制も不可能ということになるのだが...。
この内部統制を商機としていた監査法人 トーマツによる情報漏えい事件なんて、ほんとに良い例だ。自社の社員をコントロールできていない会社に、他の会社の内部統制を任せることができるだろうか。果ては、それを監査してもらうことができるだろうか。トーマツにとっては、手痛い事件だったと思う。
