書評「なぜマイクロソフトはサイバー攻撃に強いのか?」
日本マイクロソフトの社員によるセキュリティの入門書「なぜマイクロソフトはサイバー攻撃に強いのか?」(技術評論社)が、昨年12月18日に発売された。少し時間が経ってしまったが、やっと読めたので紹介しよう。
本書の特徴は、良くも悪くも、一般的な技術解説と、マイクロソフト固有の構成が混じっていることである。
悪い点としては、一般論と個別構成が混じっているので、私は少し読みにくいと感じたことである。誤解することはないが、ITインフラの専門家には少し冗長に思える。一般記事の中にマイクロソフトの実例が挿入されていることもあるので、節や章全体を読み飛ばすのも難しい。結局全部を読んでしまった(そして、全体としては大変面白かった)。
しかし、本書の良さはまさにここにある。マイクロソフトの社内システムを例に、「そもそもセキュリティとは何か」「セキュリティと利便性の両立をするにはどうすれば良いいのか」「具体的にどのような技術を使えば良いのか」を、実際の例を元に解説されているため、「どのように」考えて、「なぜ」そうなっているのかがよく分かる。セキュリティ関連の書籍は技術的に高度だったり、セキュリティ管理方針が抽象的で読みにくかったりするが、本書は平易な言葉で技術が語られ、具体的な方針が示されているため、初学者でも深く理解できる。
セキュリティポリシーを外部に公開したがらない会社は多い。どこを守るのかが明らかになれば、そこを集中的に狙われる可能性があるという判断だろう。しかし、攻撃技術が広く出回り、ウイルス作成がビジネスとなっている現在、どこをどのように守るのかは、攻撃者にとっては当たり前のことであり、それほど重要なことではない。むしろ、防御側の無知が目立つくらいだ。攻撃者は、「本来できて当たり前」のことが出来ていないところを狙う。
たとえば、自宅マンションのセキュリティを考えてみよう。入口に防犯カメラがあり、マンションのエントランスには共用のオートロック鍵がある。エレベーターにも防犯カメラがあり、各戸には鍵が2つついている。都市部ではそれほど珍しくない構成だと思うが、これを公開することによるリスクはあるだろうか。防犯カメラの有無や、各戸に鍵は2つついていることは、犯罪抑止効果を考えると、むしろ広く知らせたいだろう。防犯カメラがダミーで、実は録画していないということなら話は別だが、それこそ事実がばれてしまえばセキュリティホールである。
本書のように、社内のセキュリティ構成を公開するのは、マイクロソフトがセキュリティ対策に自信を持っているからだろう。防犯対策の出来ていないことを宣伝する人はいない(そして、空き巣は防犯対策の甘い物件をすぐに見つけるので、隠す意味はほとんどない)。高度なセキュリティは往々にして使いにくくなるのだが、利便性を保ったまま、場合によっては一般企業よりも柔軟な構成を維持するのは素晴らしいことである。
これができるのは、マイクロソフトのIT部門が社員を信頼しているからだろう。もちろん、ITによる検査や保護は必要である。米ソ冷戦下、当時のレーガン大統領は「Trust but verify」という言葉をよく使ったそうである。「(ソ連のことは)信頼するが、検証はさせてもらう」ということだろう。むやみに禁止すると抜け道を探したり、IT部門を出し抜く方法を考えるだけである。セキュリティも、社員については「Trust but verify」の考え方で進めたい。
ところで、本書の冒頭にこんなエピソードが紹介されている。
お酒の席で、筆者がノートPCを開くと、どっとどよめきが起きる場合があります。
ノートPCの持ち出しを全面禁止したり、飲酒の予定がある場合飲み禁止していることが多いからだそうだ。確かにそうなのだが、私としては飲み会の席でノートPCを開くこと自体にどよめいて欲しい。やはり飲み会のPCは、セキュリティの問題ではなく、そもそも少しおかしい。
もっとも、こういうのは古い考え方で、今では飲み会をツイキャス中継することすらあるようだ。料理の写真をFacebookに上げることなど可愛いものだ(おっと、どちらもスマートフォンかタブレットを利用して、PCは使わないのが普通か)。
そういえば、先日、女優の町宮亜子さんが飲み会(ファンミーティング)を開いた(【オフ会】3月2日(日)に開催するぞ♪♪)。参加できないファンのために、ツイキャス中継が行なわれたが、そこである人が「え、これ(インターネットに)流れてるんですか」と慌てる場面があった。IT機器のセキュリティだけではなく、言動にも注意しなければいけない時代が来たようだ。