ブルース・シュナイアー『セキュリティはなぜ破られたのか』読み中
読み途中だけど、これはすごくいい本……かもしんない(読了でないので留保しておく)。
ブルース・シュナイアーといえば、知らん人はいないと思うがいちおう説明しておくと、とっても有名なコンピュータ・セキュリティの専門家(うう、我ながら説明になっとらん。でもよく考えたらそんなに詳しいことをオレは知らん)。で、そのシュナイアーの本でこういうタイトルだから、まあそういう話なのかな、と思ったけど、ぜんぜん違った。
本書は、もう少し広い観点で「セキュリティ対策」というものごとについて考える本になっている。
本書では、私の専門であるコンピューターセキュリティ分野で開発された方法を現実世界に適用してみたい。コンピューターの世界で有効な概念や考え方、ルールは、現実の世界にも基本的に適用できるし、適用すべきものだと思う。(p.8)
そういう本である(でも私が読んでる8章までの段階で、明確にコンピュータセキュリティからの援用は特にない気がする)。
セキュリティの対策というのは、トンチンカンなことになりがちだ。コストを度外視したり、例外的な物事の対策に気をとられて有効な対策が取られなくなりがちだとシュナイアーはいう。
「セキュリティはトレードオフ」である。コストとリスクを見定めて、コストを失なわないように、効果的にリスクを下げるのが望ましい対策なのであって、完璧なセキュリティはない。いや、たとえば無人島に独りで住むといった対策によってある種の問題へのセキュリティは完全となる。しかし、そうした極端な対策が非現実的で実行不能なのはすぐわかる。ということは、実施する対策のコストと、その効果を見定めないといけない。ところがこれが難しいと著者はいう。
その理由がとして著者が挙げる内容が、原題 Beyond Fear – Thinking Sensibly about Security in an Uncertain World に込められている。人間は恐れや感情、思い込みによって簡単にコストを見誤る。また、リスクは確率的で不確定的だ。たとえばハイジャック犯が飛行機を乗っ取る事件があると警備に穴があったことがわかるが、そういう犯行が起きてないとき、単に狙われなかっただけなのか、対策がしっかりしていたから未然に防がれたのかがよくわからない。だから、ある対策を取るときには、そのコストと効果の程度を冷静に考えて判断しないといけないわけだ。
それこそが著者の主張である。
そういうわけで、シュナイアーの本だけれども、コンピュータ・セキュリティに興味のある人間というよりは、もっと広く一般にリーチした方がいいタイプの本だと思うよ。