岡嶋裕史さんの著作。
前回読んでブログにまとめた「うちのシステムはなぜ使えない?」と一緒に買った本。
副題は「セキュリティを本質から理解する」。
その「本質」とはいったい何ぞや?とすごく気になり購入。
さっそく読んでみた。
目次は以下の通り。
第1章 暗証番号はなぜ4桁なのか?
第2章 パスワードはなぜ有効期限があるのか?
第3章 コンピュータはなぜ計算を間違えるのか?
第4章 暗証番号はなぜ嫌われるのか?
第5章 国民背番号制は神か悪魔か救世主か
第6章 暗証番号にはなぜ法律がないのか?
第7章 インシデントはなぜ起こり続けるのか?
やっぱりこの人の本は読みやすいなー。
第1章と2章は「利用者側の不満」、第3章は「コンピュータの言い訳」、第4章と5章は「管理者の言い訳」、第6章は「法律の言い訳」、そして最後の7章は「では実際どうすれば良いのか?」という構成で書いてある。
構成の分かりやすさもあるのだけど、文章が簡単なので頭に入りやすい。
そのかわり、深堀りした話は全く無いので、あくまで概要把握をするには良いというレベル。
さて、知りたかった「本質」とは何か?
一言で言うと、「最高のセキュリティ対策はセキュリティ教育」という一文かな?
1969年(昭和44年)に国内で導入されて以来使われている4ケタの暗証番号が、何故4ケタに決まったのか、「理由がわからない」というのは正直驚き。
まぁ、技術の世界ではよくある話ではあるけども。
しかし、その仕組みが未だに変わっていないのは、銀号側の都合でしかない。
変更コストが莫大だというのはわかるが、個人情報保護法のおかげ(せい?)でセキュリティ意識が高まっている昨今、この脆弱性は致命的だ。。
技術的には「ICカード」は既に実現されているし、「量子暗号」もかなり期待できる技術。
しかし、所詮技術でカバーできる箇所は限られている。
だからこそ、個々人が「セキュリティ」をもっと意識する必要がある。
著者は最後に以下3つを意識するように説く。
1.提供された仕組みを疑う
2.それを使う自分も疑う
3.インシデントが起こっても大丈夫なように資源を分散する
※インシデント=「安全を脅かす事件・事故(セキュリティ用語)」
「安全」と「利便性」はトレードオフの関係。
銀行など金融機関に、「安全」と「利便性」両方要求するのはさすがに無理があるし、そもそも実現不可能。
「水と安全はタダ」は既に幻想。
「インターネット」という便利な道具を使い、ネット上で銀行の口座管理や証券売買などの金融資産を取り扱う自由を我々は得た。
その責務として、「安全はタダではない」と自覚し、セキュリティ感度を少しだけ高めて、自衛するしかないってことです、結局は。