セキュリティはなぜやぶられたのか

近年、日本でもセキュリティ事故が日常的に発生するようになってしまったが、導入される対策を見ると、「ここまでやるか？」というほど膨大なコストをかけて対策する企業もあれば、ザルとしか言いようがない企業もある。
すべてを理解した上でこのような対策であるならばいいが、何が脅威であるかも理解しないで対策をしているような場合は、本書に記してあるように「トレードオフ」を考える必要があると思う。

暗号は、コンピュータ社会では避けて通ることができない技術です。
ただし、多くの人が知ってしまうと、逆に危険も増えるかもしれないという変わった技術です。そのため、読むことを勧める人は限定するとよいかというと、逆に限定した人が危険かもしれないので、どうしたらいいか分かりませんでした。
そういう状態に対して、よい考えを示してくれるのが本書かもしれません。
プロセス（作業、手順）が大事だとすると、関連する技術はSSE-CMMでしょうか。

日本語版は2007年2月19日リリース。本文の内容についてはシュナイアー自身がこの本の中で書いているのだが執筆している内容は2003年だと述べている。シュナイアーの名著は3冊あるが、
『暗号と秘密のウソ』・・・日本語版2001年10月2日→執筆1997年
『暗号技術大全』・・・日本語版2003年6月6日→執筆1999年
『セキュリティはなぜやぶられたのか』・・・日本語版2007年2月19日→執筆2003年
ということになるだろう。暗号やセキュリティの世界は日々進化している。だからいつ本を読んでも既に古いことになってしまう。文字にしているうちに古くなる。法律が追いつけないのも無理はないのかもしれない。

この本は『暗号と秘密のウソ』と似た種類の本に分類される。ある意味アップデイト版とも言えるだろう。特徴はプログラムコードが一行も出てこないことだ。片や『暗号技術大全』はプログラム・コード満載である。シュナイアーはセキュリティを理解するためにはプログラム・コードとそれを使う人間とがそれぞれどうあるべきか二本建てであるべきだと考えているのだろう。資料は簡潔で非常に説明が分かりやすい。セキュリティの本でこれ以上に分かりやすく論点を明確にした本はないと僕は思う。ネットだけでなくテロや戦争にまで話は広がり、実に名著だと思う。

セキュリティってなんなんだろう？
セキュリティを高めるにはどうすればいいのか？
ってことをわかりやすく伝えてくれる本です。

おそらく仕事としてセキュリティを提供する人のために
書かれた内容なのだと思いますが、その内容は平易でわかりやすく
特別な知識なしで読めます。

セキュリティに興味があれば、最初に読んでおくと入りやすいと思います。

ただし、アメリカ人を対象に書いている本なので、例えが若干
日本人には伝わりにくい部分もあるかもしれません。

　本書は、２００３年にセキュリティの専門家と言う立場からアメリカで書かれた本で、犯罪者に対する防御について検討考察を行ったものである。
　出版時期から、９．１１とテロに対する予防策に多くのページが割かれているが、より一般的なリスクとそれに対する対応策としてとらえ直すこともできる。
　そういう意味では、本書の第１章で述べられている「トレードオフのないセキュリティはない」という点は大いに参考になる。　一般に何かミスがあると必ず再発防止策を検討するものであるが、対策をとれば必ず何らかの「不便さ」が生じてくる。費用が大きすぎることもあるし、さらには何の効果のない対策がとられることも多い。
　また、対策をとっているふりをする単なる「セキュリティ芝居」にすぎないことも多い。

　これらの問題に対処するためには、本書で紹介されている五つのステップによる評価法（守るべき資産は何か、その資産はどのようなリスクにさらされているのか、セキュリティ対策によってリスクはどれだけ低下するのか、セキュリティ対策によってどのようなリスクがもたらされるのか、対策にはどれほどのコストとどのようなトレードオフが付随するのか）が使える。
　ただし、絶対確実なセキュリティはない、優れたセキュリティの中心は人である、としているのが印象的である。

　具体的事例も豊富で、リスク管理の検討には大いに参考になる。それだけでなく単なる読み物としても面白い。おすすめである。