- Amazon.co.jp ・本 (444ページ)
- / ISBN・EAN: 9784822283100
作品紹介・あらすじ
テロ、ハイジャック、カード犯罪、ネット犯罪-現代社会にひそむ脅威への賢い防御とは。『暗号の秘密とウソ』の著者、待望の最新刊。
感想・レビュー・書評
-
セキュリティはリスク低減とコストのトレードオフ。攻撃を理解しながらどうやって守っていけばいいのか想像力を養うことができる書籍
詳細をみるコメント0件をすべて表示 -
物性研の所内者、柏地区共通事務センター職員の方のみ借りることができます。
東大OPACには登録されていません。
貸出:物性研図書室にある借用証へ記入してください
返却:物性研図書室へ返却してください -
p10 歯を磨くこともセキュリティ.→歯磨き粉を使うという選択は虫歯の予防とコストのトレードオフ
p12 セキュリティは感覚と実体の二面.
安全そうだ->感覚 実際に安全か->実体
p18 この本が取り扱うセキュリティは”意図的な行為” 災害やヒューマンエラーは取り扱わない(前者が”セキュリティ”,後者が”安全対策”
p21ステップ
1守るべき資産は何か
2その資産はどんなリスクに晒されているか
3対策によってどのリスクを低減できるか
4その対策が新たに生むリスクはないか
5その対策にはどれほどのコストとトレードオフがあるか
★ 3> 4+5かどうか
p30
脅威とはシステムに対する攻撃方法
p41
"とろうと思うリスクは過小評価し,リスクをとらされるときは過大評価する傾向がある”
->脱サラしようとする夫とそれを止める妻的な
報道されるリスクには敏感になるが.逆も然り.
飛行機の墜落より交通死亡事故の方が多い.
★実体ではなく感覚的(主観的)なリスクに判断がされるので決定をあやまりがち.
p55 感覚だけの対応=”セキュリティ芝居”
ただし,芝居でも効果を生むこともある
トレードオフやリスクに対しる感度や考え方はステークホルダーごとでバラバラだ.
p58
システム:
シンプルな部品が相互作用をもち一体化したもの
相互作用するエンティティの集合体
p70
相互作用の意図せざる結果=創発
p77
セキュリティの失敗
受動的:とるべき対策が実行されてなく,
攻撃に対する防御が失敗する
能動的:講じた対策が悪影響を及ぼす.誤検知誤作動
誤検知,誤作動を意図的に引き起こし,疲弊した防御側がシステムを切ったときに本当に攻撃を仕掛けるパターン
p115
脅威を把握し,その後リスクと影響を見積もる
p116
優れたセキュリティアナリストはどうやったらセキュリティが破れるかを考える.
誰が,どういう目的で,どういう攻撃をしてくるか,
p146
セキュリティとは最弱点問題
鎖の強度の最大値はその鎖の最も脆い部分
単一障害点はNG.多層防御・分割防御
最弱点を補強しても最弱点が違うところに映る.これを直すの繰り返し
p168
剛性=脆弱性. 靭性がある=反脆弱.
剛性が高いものはちょっと壊れると全部がダメになる.少しの障害が全体に波及.
靭性があると障害が連鎖しない
ミツバチ:女王蜂は特殊なフェロモンを出すことで自分以外が子孫を残せないようにする.デバフ
守るべきもの:全部を守ろうとすると手に負えなくなる,大将を的確に絞る必要がある.
飛行機ハイジャックー>何を守るか?ー>飛行機?空港?国土?高層ビル??乗客?
p216
防御は,検知・対応が間に合うレベルでいい=
30分で警備員が駆け付けられる金庫に求められる対突破性は30分
226 監査とは事後のチェックシステム
246 対応のない検出に意味はない
251: ある種の海鼠は胃の内外をひっくり返すことができる
胃と内容物は食べられるが本体は生き延びられる→まじ....
識別 あなたはだれ?
認証 証明しろ
許可 この範囲のことはしても良い
270
映画のチケットは許可のトークン
パスポートは識別と認証
291
地図会社は地図にあえて誤った情報をいれる→透かし
バイオメトリクスは世界に一つの識別子だが、秘密ではない -
暗号・セキュリティの専門家である著者が、収集した古今の膨大な事件から、攻撃者はどのような手口を使ってくるのかを、テロ、ハイジャック、カード詐欺、ネット犯罪、内部犯罪、窃盗にいたる実例を挙げながら解説。
技術分野でのセキュリティの知識が、社会全体にどのように応用できるかを説いていきます。
セキュリティとは、つまるところ効果(リスクの軽減)とコストのトレードオフであり、そのトレードオフを判断するためステップ(5段階評価法)を提示。 -
1
-
セキュリティというと、サイバーセキュリティのことと思われがちだが、本書では日常的な事故・事件等をも視野に入れている。
守るものは何か、リスクは何か、等々、様々な事案の予防策、対策を考えるにあたっての考え方を学ぶことができる。 -
本書は、いろいろな具体例をあげて、セキュリティについての柔軟な考え方を説明している。特に「絶対安全」を求める官庁と、些細なリスクに過剰反応するメディアの人々に読んでほしい。
p63まで読んだ。 -
コンピューターのセキュリティだけでなく、一般的なセキュリティについて書かれた本。
当たり前のことが書いてあるが、世の中の人がいかにわかっていないか分かる。
文章は読みやすく、訳も不自然な所はない。 -
とにかく如何にセキュリティレベルを上げるかということではなくて、失敗例をあげて、セキュリティはトレードオフであるという点を書いている点が実用的で面白い。