今回、読んだ書籍は、
サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス) 中島 明日香 著
になります。同僚の推薦です。
とても良い本なので感想を書かせていただこうと思います。
書評とか、そんな偉そうなものではありませぬ。
なお、当社ならびに筆者と著者は面識等、一切ございません。
本書はブルーバックスから出版されています。
ブルーバックスのシリーズは高校生の頃に何冊か読んだ記憶があり、懐かしさすら感じます。まさに発刊の言葉「科学をあなたのポケットに」と言ったところで、書店には情報科学以外の分野の書籍がこれでもかと並んでいます。
本書には
情報科学の知識をもたない人でも理解できるように、基本的なところから解説します
とあります。
なるほど、脆弱性とは何か、そして情報科学(工学)について、例えば、ソフトウェアとは何か、ハードウェアとは何か、から始まり、ソフトウェアの開発工程についてとその改善策(教育とインシデント・レスポンス)、プログラミング、関数とは何か、そして代表的なサーバー攻撃の手法の紹介、最後の7章「脆弱性と社会」では、闇市場についての説明まであります。
まさにテンコ盛りです。
正直な感想を述べますと、セキュリティ製品を取り扱っている企業のエンジニアの私でも、かなり読み応えがあります。ちなみに我々、C&S技術統括部は某大学の学部や修士コースのテキストを輪講で扱っているレベルです。それでも役に立つ一冊かと。
当社の若いエンジニアや、営業さんには読んでもらいたい一冊です。
章ごとに簡単な要約くらいすると、かなり知見が深まるような気がします。プレゼンも提案能力の向上にも繫がるでしょう。
ファームウェア、ミドルウェア、脆弱性、CVSS、上流工程、下流工程、要件定義、CVE、NVD、JVN iPedia、パッチ、ゼロデイ攻撃、ハニーポット、サンドボックス、Webアプリケーション、HTML、CSS、JavaScript、クロスサイトスクリプティング、SQLインジェクション、皆、説明があります。
こっそり勉強しよう!
バッファオーバーフロー、アドレス空間配置のランダム化、レースコンディションなんていうのは我々の実際の業務の中でも遭遇した話ですが、たぶん、あのときに書いた解説は私以外、一人か二人しか理解できなかった。それじゃあ、不味い。
本書を読んでから、海外セキュリティ企業のCTI(Cyber Threat Intelligence)の生々しいトレーニングを受けると理解度もアップするような気がします。
逆に、まったく情報科学やこの業界に明るくない人には、やや難しいのかな、と思います。例えば、私の母にはチンプンカンプンでしょう(当たり前か...)。著者の執念とも思えるほど、いろんなことが詰め込まれていますので、そこは仕方ないのかな、と思います。
そして、サイバー・セキュリティ云々をまったく知らない経営層の方には、この本を購入して読むことをお勧めします。ポケットには入らないかもしれませんが、新書サイズで持ち歩きも苦ではありません。
詳細はわからなくても構わないですから、一度、1章、2章、7章だけでも読むと、いままでボンヤリしていた部分が少しクリアになるかと思います。そして、社内外問わず、我々の業務も楽になると思いますので、よろしくお願いします 笑。
続きはこちらです。
