情報セキュリティの敗北史 を読んだ

[azu]

情報セキュリティの敗北史 by @azu #42

情報セキュリティの敗北史｜白揚社 -Hakuyosha-

1950年ぐらいのセキュリティの歴史の話から始まって、1970年には「大規模なソフトウェアシステムにおいては、エラーや異常が完全にないことを検証するのは事実上不可能」という話があったのが面白い。

• Ware report - Wikipedia

あと1970年にＰＲＯＳ（Provably Secure Operating System：証明可能な安全性を持つＯＳ）という形式的証明みたいなことやってたのも面白い。

• Provable security - Wikipedia

科学では反証可能性で担保するが、セキュリティではそうなってない。
あるシステムは安全ではないと言うことはできるが、あるシステムは安全であると言うことは難しい(バグがないシステムは存在しない)。セキュリティでは、完璧に安全というものはないため、セキュリティの専門家でも反証可能性がない。

• 反証可能性 - Wikipedia

つまり何か絶対の正しさを持ったものはないので、セキュリティを実現する絶対的なものはない。
そのためリスク評価といった間接的な指標を使って意思決定している。(リスクが低い = セキュリティが高いだろうと)
ここを理解するのには経済学の逆インセンティブ、心理学的なものが重要という話よかった。

セキュリティは特定の問題を扱っても解決はできないので、システム全体の問題として見る必要がある。
セキュリティの技術的な部分は確かに技術だけど、セキュリティ対策という全体感で見ると必ずしも技術が得意じゃない人の方がリスク評価からの対策が上手いとかは普通にありそうだなーと思った。

これは、いわゆるセキュリティ対策を何から始めたらいいかわからない問題とも繋がっていそう。
何か絶対のものがあるわけじゃないので、これ対策しておけば良いわけじゃなくて、やるべきことは無限に出てきてしまう。
(やり方もボトムアップ、トップダウンどちらもある)
これを全部並べるとコストがリスクを上回って、本でも出てきたように逆インセンティブの問題が発生して対策を諦めてしまう。

これの考え方としてリスクマネジメント的な優先度を、リスク評価から決定していくのが良くある方法。

• エンジニアのためのリスクマネジメント入門：書籍案内｜技術評論社
• 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める？　何を重視する？――freee CISO 茂岩祐樹氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ） - ITmedia エグゼクティブ

この絶対的なものじゃなくて、相対的なもの/間接的なものとしてセキュリティを評価していく話は実際そうだなーと思って読んでて面白かった。(9章)

売上高の「0.5%以上」、人の「0.5%以上」をセキュリティの予算とするという話もこういった間接的な評価から決めているのだと思う。

• https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf

よかった章

• ６. ユーザブルセキュリティ、経済学、心理学
• ９.情報セキュリティの厄介な本質

が特によかったなー
フルディスクロージャーからレスポンシブル・ディスクロージャへの変化とか

---

This discussion was created from the release 情報セキュリティの敗北史 を読んだ.