« 飯盛山 (めしもりやま) | メイン | 本日の体操 »
2006年09月23日
[読書] 欺術(ぎじゅつ)
| 欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法 | |
 | ケビン・ミトニック ウィリアム・サイモン おすすめ平均   日本は大丈夫か?珍しい視点恐ろしいZさんを騙すなら、まずXさん、次にYさんと順を踏めよみやすいAmazonで詳しく見る by G-Tools |
あの伝説のクラッカー ケビン・ミットニックの本が出るという事で、3年前に発売と同時に買った本。帯には「この手口を使われたら、もうどんな情報も守れない ー 推理小説1ダース分の面白さ」なんて書いてあり、ミットニックの自叙伝的な本かと思ってわくわくして読み始めたが、期待に反して、内容はセキュリティコンサルタントになったミットニックがソーシャルエンジニアリングの手口を解説したものだったので、がっかりして、すぐに読むのをやめて放置してしまった。
なぜ、ミットニックの自叙伝的な内容を期待したかというと、ミットニックをFBIと協力して逮捕したのは、米国育ちの日本人セキュリティ専門家の下村努だったからだ。コンピュータセキュリティ専門家の下村努はある日、自宅のサーバが何者かに侵入されていることに気がついた。それは悪名高いケビン・ミットニックだった。専門家としての威信を懸けて、下村はミットニックを追いかける。そして、ついにミットニックの居場所を突き止め、逮捕する。この一部始終を下村本人が書いた本「テイクダウン」を10年前に読んだときは、下手なサスペンス小説よりもわくわくした。
| テイクダウン―若き天才日本人学者vs超大物ハッカー〈上〉 | |
 | 下村 努 ジョン マーコフ John Markoff Amazonで詳しく見る by G-Tools |
長い間放置してきた「欺術」だったが、最近、セキュリティのISMS(ISOは何番だっけ?)などに関係することも、多くなってきたので、読み直すことにした。まあ、これを読んだら、いくらシステム的にセキュリティを強化しても、ソーシャルエンジニアリングを駆使されたら、ひとたまりも無いことを思い知らされ、じゃぁ、いったいどうすればいいの? と、途方に暮れてしまう。
簡単にいえば、ソーシャルエンジニアリングとは詐欺の手口です。(最近の俺俺詐欺みたいな手口) 要は、企業のコンピュータ侵入するには、映画のように純粋に技術的な手法を駆使して、まるで魔法使いのように防御を破っているのではないということ。あの手この手で、内部の社員をだまして、パスワードを聞き出したり、盗んだりして、侵入する。
今は立派なセキュリティコンサルタントになったミットニックは本書の後半で対策についても、述べている。内容的には、特に新規性もなく、よく言われている対策だ。しかし、現実には社員に徹底して守らせるのが非常に大変なんだよなぁ〜。
内容的にはすぐに退屈になっちゃうけど、ISMS導入の責任者やISMSを取得したいとおもっている経営者は読んでおいたほうがよい本だよ、これは。
投稿者 nekobara : 2006年09月23日 21:45