Jeff Crume
ハッカーの秘密
インターネットセキュリティ入門
ガイド
書誌
| author | Jeff Crume |
| editor | 林秀幸(訳) |
| publisher | ピアソン・エデュケーション |
| year | 2002 |
| price | 2,800+tax |
| isbn | 4-89471-405-1 |
目次
| 1 | 本文 |
履歴
| editor | 唯野 |
| 2002.10.30 | 読了 |
| 2002.10.30 | 公開 |
| 2002.10.31 | 修正 |
IT 管理者の向けの著書である。ハッカー(この言葉について議論があるが本書ではハッカーで統一している)に親切に攻撃方法を教示する著書ではない。日夜、ハッカーの攻撃にさらされる企業の重要な情報資源をどのように防御をするかを実際のハッカーの攻撃手段や被害の実例を示すことで説明している。現在のインターネットセキュリティの脆弱さを概念的に(でないと一冊に収まる道理はないのであるが)鋭く指摘している。私のようなインターネットセキュリティに疎いものには入門書としてうってつけの著書である。
ハッカーの攻撃手段を公開する危険について、著者は以下のように述べている。「ハッカー達はそんな手段を既に知っている」(p xvii)私は、本の前で思わず大きくうなずいてしまった。構成としては、前半でセキュリティとは何かという簡潔な説明を、後半でハッカーたちの攻撃する手口とその防御手段について述べられている。
解説書であるため、ひとつひとつ注釈をつけても仕方がないので(というか唯野氏のように解説書に注釈をつけるほど高度な知識も技術もないので)ここは、純粋な私の読書感想文でも書くことにしよう。
この著書は、「インターネットという世間がよくわからないが、恥ずかしくいえない」IT 管理者や、「企業などの組織内の IT 分野で実力はド素人であるが、上位者がいないため組織から崇拝されている」IT 技術者には、かなり有用である。こういう本でしっかり勉強してもらいたいものだ。かくいう私もこの分野の技術者の端くれの塵芥であるが、特にこの著書で強調されている「セキュリティポリシー」という重要なキーワードについて、かなり IT 化の進んでいる企業、特に資金力の豊富(=IT 予算の高い)一部上場企業などでもついぞ耳にしたことがない(もちろん内部事情での話である。企業の公式サイトで探すようなマネをしてももちろんあるわけないよ!)。この著書で述べられている現実はアメリカのものであり、IT 管理者のセキュリティに対する意識が低く、知識もお粗末であることを繰り返し述べているが、日本の現状を考えると絶望的である。なぜそうなるのかは他所に譲るが、(たぶんこの話題だけでひとつのサイトとコンテンツとリンク集が作成できるだろう)新製品の導入のみにやっきになる日本の IT 管理者のセキュリティの意識の低さは見るに耐えないものがある。これは観測ではなく現実である。もっとしっかり勉強してもらいたい。
つぎにハッカーにたいする見解である。この著書では、ハッカーを初級ハッカー、中級ハッカー、上級ハッカーの 3 段階に分け、初級ハッカーが 10 万人、中級ハッカーが 5 千人、上級ハッカーが 5 百人から千人と概算している。(p 30)とくに初級ハッカーを「スクリプト少年」(script kiddy)と紹介し(p 29)何も知らない初級ハッカーこそが、上級ハッカーの作成したツールを無思慮に攻撃に使用するので最も恐ろしいと分析している。さて、これはアメリカの話である。日本ではどうか、階層構造はもっと「スクリプト少年」(日本では「あの」言葉で表現される!)に比率が高いと考えられる。日本では幸運にも(残念ながらではなく!)上級ハッカーの比率はかなり低いと考えられている(もちろん「ハッカー国勢調査」(p 48)などしていないので実態はわからないが)。ここで、ハッカーの使用する有用なツールがアメリカ産であることを念頭におけばわかるのであるが、日本の初級ハッカーの多くは英語が読めないという事実があるため、初級ハッカーによる被害は、アメリカほど日本では顕著ではない。しかし、日本のハッカーは、そんなことは既に知っている。現在、いわゆる「日本語パッチ」の普及が著しい。(WinMX の事象を思い浮かべてほしい)そして、ハッカーのための攻撃ツールの日本語化も急速に進んでいると考えられる。日本版スクリプト少年の一斉蜂起も間近に迫っているかもしれない。
これに対抗するには、結局、IT 管理者のセキュリティ意識の向上しかないのではないだろうか。警察、司法が動くのは事が起こってからだというのは、日本もアメリカと同じであるから。
追記
スクリプト・キディは、いわゆる愉快犯のこと。セキュリティ・ポリシーにおいては、多分、外資系企業では普及しているのかもしれない(勝手な推測)。ただ、最近ではこのような外部からの攻撃だけでなく「内部からの攻撃の危険性」ということが主張されている。つまり、外からだけに強くても駄目ということであり、セキュリティ問題の難しさがそこにも表れていると思う。(この部分のみ唯野)