仕事でセキュリティの基本を再確認しようと思って、初学者にも易しいブルーバックスを選んだ。(一応)専門家として活動するからには、こういう本を読んでおく努力をしておく。読み飛ばせて当たり前、新しい発見があれば、恥じ入りつつもありがたく頂戴する。

第1章 資産があるから、守らなければならない
第2章 リスクのコントロール
第3章 セキュリティを構築するしくみ
第4章 セキュリティとネットワークの関わり
第5章 なぜセキュリティが破られるのか―セキュリティシステムの三つの原則
第6章 破れないセキュリティシステムは作れるか

セキュリティの本質と目的って何？ ということを簡潔にまとめた本である。技術的に難解な説明は一切なし。とくに、図やイラストがたくさん示されているので、わかりやすい(ぺリメータ・ラインという言葉を初めて知った)。お客様への説明資料にもそのまま使える(パクれる)。実は今日、部署の新入り社員のための歓迎会があったのだが、セキュリティを初めて担当する社員に、この本を薦めてきた。

セキュリティと対応してリスク、というものがある。リスクは、まず守るべき「資産」があり、それに対応した「脅威」があり、それがつけこむ「脆弱性」がある、という3つの要素に分解できる。つまりこれらの関係を外したセキュリティ対策をしても、何の意味もない。それは日常の問題解決にも応用できる。そして、セキュリティには終わり、という概念がない。すべてのセキュリティ技術には「穴」がある。そして、究極のセキュリティは、最終的な「穴」である人間の自由を阻害する、という本末転倒に陥る。それらの矛盾を抱えながら、試行錯誤して日常の運用とともに少しずつ進化させていく、ということが説明されている。

実は、以前、同著者の『ウチのシステムはなぜ使えない　SEとユーザの失敗学』も読んでいた。システム開発時にSEとユーザーの間に横たわる、どうにも埋まらない溝を解説しているシニカルな視点を絡めて書いてある本である。現場をアカデミズムに携わる人がこういうユーモアを書くと、どうしてこうキツめになってしまうのか、とあまり人に薦められなかった。正直、著者を嫌いになりかけたぞ。しかし、この本はそれが抑えられて書いてあったので、ちょっと安心した。いや、単に使い分けているだけか。見返しにある著者近影は、「穏やかインテリ顔(娘は3歳になりました[予想])」だった。

私の会社の同僚だけでなく、セキュリティ、に携わる必要が生じた初学者には、この本を薦める。丁寧なイントロダクションを備えた教科書は、貴重である。

本の内容から離れた余談。riskという英単語に危機、という訳語を当てるのは、どうにもしっくり来ない。プロジェクトでは、いいrisk、という言い方もすることがある。riskは目的や結果に影響を及ぼす変動(不確定)要素、というイメージのほうが合っているように思う。