セキュリティ界隈の人は必読の良書!「あなたの知らないセキュリティの非常識」を読んだのでレビュー!
*写真はAmazonより引用
日経BP社「あなたの知らないセキュリティの非常識」を読んでみました
Twitterで私がフォローしているセキュリティ界隈の人たちが、「おもしろい!読むべき!」と高評価をしているのを見かけ、
仕事でセキュリティを少しかじっているへっぽこSEとして、読まないわけにはいかない!と思っていました。
そんな中、本屋の書棚に並んでいるのを発見し、早速購入し読んでみたところ、
最前線で働く情報システム部門のセキュリティ担当者の方やセキュリティエンジニアの方、セキュリティ初学者の方にもおすすめできる良書だったので、
今回は、本書「あなたの知らないセキュリティの非常識」を徹底レビューしたいと思います!
「あなたの知らないセキュリティの非常識」徹底レビュー!
本書の著者について
この「あなたの知らないセキュリティの非常識」を執筆された方は、辻 伸宏さんという方で、セキュリティ界隈ではとても有名な方です。
現在はソフトバンク・テクノロジーにてセキュリティリサーチャー、エバンジェリストとして様々なセミナーで講演されておりますが、元々ペネトレーションテスト(侵入テスト)を行うペンテスターとして活躍されていたようです。
本書は、そのような「攻撃者」として獲得された知識や経験をふんだんに活用し、現在のセキュリティの非常識などについて解説した本になっています。
それでは、本書をおすすめする理由をご紹介します!
「あなたの知らないセキュリティの非常識」をオススメする4つの理由
理由①:最新のセキュリティの知識がふんだんに詰め込まれている
2017年11月に出版された比較的新しいセキュリティ本であるが故に、最新の攻撃手法や、それに対する対策方法を知ることができます。
例えば、本書の冒頭でイランのハッカー集団「コバルジプシー」が2016年に実施した標的型攻撃を事例として紹介しています。
その事例では、企業の重役に対して短縮URL付きのメールを送り、マクロ付きWordファイルをダウンロードさせ、Powershellスクリプトを実行させ、ウイルスに感染させる、といった昨今話題のファイルレスマルウェア攻撃について紹介しています。
ファイルレスマルウェアについて興味のある方は以下の記事がオススメです!
また、昨今活用が進むクラウドサービスに対する攻撃事例も紹介され、それに対して取るべき対策手法についても紹介されています。(対策内容はぜひ本書でお読みください!)
クラウドは、便利であると同時に誰でもアクセスできてしまうという特徴があります。
そのようなクラウドサービスを保護する上で、教科書で乗っているような従来のオンプレミスのシステムに対するセキュリティの考え方は、通用しません。
本書では、クラウドを守る上で、取るべき対策方法について解説しており、
教科書に載っていない「今」のITの実態に求められる最新のセキュリティ対策を学ぶことができます。
最新のセキュリティリスクや対策方法を元に自社のセキュリティポリシーを考え直したいという情報セキュリティ担当の方は必見の内容だと感じます。
理由②:各種攻撃手法の詳細を学べる
最新のサイバー攻撃の詳細なプロセスについて、日々のリサーチにて得られた知識を惜しみなく発揮して、解説してくれているのが本書です。
前述のファイルレスマルウェアの攻撃についても然り、
DDoSや、ハニートラップを駆使した標的型攻撃の手法など幅広くかつ詳細に紹介しています。
ニュースなどではざっくりとしか解説されないインシデント発生原因の攻撃内容も詳しく解説してくれているので、
「ふむふむこういう攻撃が来るのか、じゃあ、こういう風に自分や自社を守れば良いんだな」と明日からのセキュリティ対策を考えることができます。
セキュリティ担当者だけではなく、エンドユーザーである社員の方にも読んでほしい一冊となっています。
理由③:わかりやすい表現でさくさくっと読める!
このようなセキュリティのあれこれをわかりやすく表現されており、サクッと読めることも本書の魅力の一つです。
さすが日々セキュリティについて解説されるエバンジェリストとして解説されているだけあって、難解な内容を理解しやすくまとめられています。
技術用語もいくつか使用されていますが、ページ下部に解説が載ってあり、セキュリティ初学者の方も容易に読み切ることができます。
理由④:単純に面白い!
あーだこーだ書いてきましたが、単純に面白いです。
なぜ面白いかというと、タイトルである「セキュリティの非常識」の通り、
信じていたセキュリティにおける常識が非常識であると判明したポイントがいくつかあったからです。
ネタバレしてしまうと著者に申し訳ないので、
例えば、
・標的型攻撃訓練の実施方法
・オリンピックで実施される攻撃のレベル
・ベンダーが公表する脆弱性の重要度の評価方法などなど
信じていたものが非常識であるとわかり、たくさんの気づきがあり、読んでいて面白いです。
セキュリティのベテランの方もなんらかの気づきがあるのではと思う本だと思います。
また、ソフトバンクバンク・テクノロジー社で発生したインシデント時のなまなましい現場のエピソードも書かれおり、セキュリティの現場を垣間見ることができ、そういった点でも面白かったと思います。
本書で語られていますが、セキュリティインシデントは個人のせいではないという考え方はとてもマインドチェンジングで今後大切にしていきたいなぁと思う考え方でした。
「あなたの知らないセキュリティの非常識」はこういう人にオススメ!
結論から言うと、すべての人におすすめできる良書ですが、特に以下のような人はおすすめです!
① セキュリティポリシー策定に関わる情シスセキュリティ担当の方
冒頭にも述べましたが、最新の事例がわかりやすくまとまっているので、最新の実態も踏まえて社内のセキュリティのあり方を考えたいセキュリティ担当者の方にはおすすめです。
著者の考えるセキュリティの基本5つも紹介されています。
攻撃者視点の方の考えるセキュリティの基本ポリシーは、変なSandboxを入れるよりはるかに効果のあるセキュリティ対策なので、ぜひお読みいただき社内のポリシーを見直していただくことをオススメします。
② バリバリ最前線で働くセキュリティエンジニア
本書では、セキュリティプロの著者が日々の情報収集の方法や、情報収集する際に利用するサイトなどが紹介されています。
また、サイバー攻撃内容を探るプロセスやその際に使用するツールなども紹介されており、
著者のようなセキュリティリサーチャー・エンジニアになりたい方にとっては、目から鱗の情報がたくさん掲載されています。
自分も見習って頑張りたいです。。。
③ これから勉強するセキュリティ初学者の方
そして、もちろんセキュリティ初学者の方にもおすすめできる良書です。
最新事例を技術解説を加えてわかりやすく解説してくれているので、かなり勉強になると思います。
特に情報処理安全確保支援士試験の受験を控えている方には特におすすめです。
なぜかというと、試験において最近の攻撃や対策方法について問われる問題が多々出題されるためです。
本書を読んでおけば、いくつかは対応できるのではないかと思います。
情報処理安全確保支援士を勉強中の方は以下の記事もおすすめです!
最後に
ということで、今回は「あなたの知らないセキュリティの非常識」をレビューしました。
セキュリティに関わる方なら必読の良書だと思います。
ただ、経営幹部の方には詳しすぎる内容かもしれないので、お偉いさんにはおすすめできませんw
ぜひ現場よりな方は読んでみてください!
セキュリティを漫画で学びたいという方は以下の記事で紹介している漫画もおすすめです!