ただのにっき

■ セキュリティはなぜやぶられたのか(ブルース・シュナイアー)

遅ればせながら。

のっけから9.11の「攻撃側」のプロジェクトマネジメントがいかに優れていたかを分析し始めて(いや実際優れているわけだが)、度肝を抜かれる。本書の執筆が2003年だそうだから、まだ一般向けのメディアでこういうこと書くのはタブーだったんじゃないだろか。勇気あるなぁ。というか、このままマネジメント本になっちゃってもよかった気がするが、その後はちゃんとセキュリティの話になる。

全体を通じて力説されているのは、セキュリティは特別なものではなく、生きとし生けるものすべてに関わるごく普通のことだということ。そしてセキュリティの評価をするときに指標にできる、一般的な5つのステップについて、厖大な量の事例を参考にしながら身につけることである。

とにかくうんざりするほど事例が多くて、整理すれば半分くらいの厚さで済んだんじゃないかと思うんだけど、読み終えてみると必要なだけの量だったのかもと思う。大きなところでは9.11のような大規模なテロの話を扱って、9.11後の対策にいかに効果がないかを暴き、有権者として何ができるかを考えさせる。いっぽう身近なところでは「食品が食べられるかどうか見た目や匂いで"認証"する」こともセキュリティだと説く*1

他にも、映画館でチケットの「売り場」と「もぎり」が別々なのはなぜかとか、考えたこともなかったようなところに効果的なセキュリティ対策が施されていたり。そういえば以前考察したナンバープレートをなぜ隠すのか問題についてもいろんなリスクをあげてあって、なるほどなぁという感じ。

我々は生活のありとあらゆる場面でセキュリティに囲まれており、どの課題に対してどんな対策をするべきかを決断し続けて生きている。セキュリティ問題は継続的で変化に富んでいるので、けっして終わることがない。だからこそ専門家に任せることなく自分で考える必要がある。……ということを、じっくり理解できる名著。

余談。どうも用語がいくつか気になって仕方がなかったんだけど、特に「剛性が高い」という言い方。普通「剛性」は高い方が良いという印象を与えるから、セキュリティに関しては逆に「剛性が高いのは悪い」と言うのはどうかと思う。読んでるあいだ中、ずっと混乱した。硬すぎて壊れやすいことを日本語では「脆い」とも言うわけで、もうちょっと言葉を選んでも良かったんじゃないか。たぶんセキュリティ業界では普通の言い方なのかも知れないけどさ。

あと本書に限らないけど「リスクをとる」って言い方も混乱するよなぁ。たぶん「take」から来てるんだろうけど、「とる」だと「取り除く」と「受け入れる」のどっちだかわからない。前者の意味で誤用されている例がすごく多いことからわかるように、適切な用語とは思えない。今からでも変えられないもんだろうか。

ということを言い始めると、この邦題もちょっとひどいよなと思うわけだが。ちなみに原題は「Beyond Fear」で、恐怖に駆られて見当違いで効果の低いセキュリティ対策に走るのではなく、冷静にトレードオフを計算しろという本書のテーマにしっかりマッチしている。邦題はまるで、クラッカーの手口分析の本みたいだ。