著者の佐々木耕三 様, ならびに
株式会社秀和システム 様のご厚意により,
書籍 "図解入門 よくわかる最新ネットワークセキュリティの基本と仕組み" を
ブックレビューコーナー にご献本いただきました.
この本のレビューをして頂くべく,
Linux Users ML
や本サイトにおいて
公募
を行い,
これにご希望頂いた方々より感想などをレビュー記事にまとめていただきました.
ここに, レビューアの方々から寄せられたレビュー記事を公開します. (原稿到着順)
佐々木耕三 様, 株式会社秀和システム 様および レビューアの皆様のご厚意に感謝いたします.
なお, 以下のレビューは初版を対象としています.
コンピュータネットワークや情報化社会に潜む様々な危険性・予想される被害とその防衛策については, 誰もが考えなければならない時代になりました. これには, 悪意あるアクセスやコンピュータ犯罪の手口を知ることから始まり, 対策を考えていく作業は避けては通れません. また, 専門外の人でもコンピュータネットワークの基本的な仕組みについて最低限理解しておく部分があることも事実です.
本書は幅広い層の人々がセキュリティについて学習できるように工夫されている点が魅力です. 筆者が冒頭に述べているように, セキュリティ教育は難しい点があります. 組織体では年齢層も幅広く, 役職も責任を負う経営者, 役員, 管理職クラスの人々から一般ユーザグループまで, あらゆる立場が存在することです. しかしながら, 本書は上手に幅広い読者のターゲットが設定できていることに感心させられました. 情報化が進んだ現在では, 企業だけでなく, 学校や教育機関, 行政の方々, 学生さんなど購入して読む必要のある本だといえます.
黒赤の 2 色刷りですが, 初心者でもわかり易いように図解や表などが適切に示されています. しかしながら, システム管理者が実際の現場で遭遇する具体的で技術的な内容には深入りしていません. 現場ではさらに詳しい解説書が必要でしょう. 書評としては, これが悪い点でもありますが, 逆にわかりやすく, 良い点でもあります. 幅広い層の方が読んでセキュリティ対策の必要性が理解できると思います. システムの運用にあたり組織体でセキュリティ教育を推進していく立場の方にとっては絶好の本ではないでしょうか. セキュリティ管理は技術だけでは実現できないことは明らかです.
ただ, 書評として厳しい意見を述べるならば, 長い文章表現では重要な点が強調できないと思いました. 教科書的利用やコンピュータに興味があまりない方に読んでもらう場合には, もっと要点を箇条書きにすべきだと感じました. 長い文章は, 要点がぼけるので, 強調文字やアンダーラインで表現されていればもっと読み易い本になったと思います.
コンピュータネットワークの歴史, 原理からはじまり, 危険性や悪意ある手口の紹介. ネットワークの原理と悪意ある手口を知ることは基本的であり, 重要です. この章は初心者でも理解できる内容ではないでしょうか.
これら 2 つの章には, 主に利用者が注意すべきことが書かれています. 初心者でも十分理解できる内容です. 情報にまつわる社会の落とし穴について一般ユーザに警鐘を鳴らしているようです.
コンピュータウィルスの感染経路やその振る舞いについて書かれています. 初心者でも十分理解できる内容です. また, 管理者としての基本的対策も述べられています.
システム管理者として, セキュアなネットワークを構築するヒントが具体的に述べられています. 全くの初心者では難しい内容ですが, 現場での技術的で具体的な設定方法などまでは触れられていませんので, これから管理者となる人々にとっては最適のレベルです. ネットワーク構築の基本方針を決める際に参考になります.
これら 3 つの章は, システム管理者だけにとどまらず, 組織全体がネットワークをどのように運用していくべきか, セキュリティを組織体がどのように考えるべきかなど重要な部分について触れられています. スキルに関係なく, 組織体の責任あるポストで仕事をする人は一読しておくべき内容ではないかという印象を受けました.
情報セキュリティ推進会議から出されている貴重な資料が収録されています. 情報セキュリティポリシーやガイドラインの策定は組織体では重要であり, 細部にわたってその基準が詳しく書かれている資料はとても参考になると思われます.
また, 組織体では定期的なセキュリティ対策の点検は重要であり, IPA (情報処理振興事業協会) セキュリティセンター (http://www.ipa.go.jp/security/) から出されているチェックシートも貴重な資料として活用できるのではないでしょうか.
技術面だけではなく, 教育やガイドラインの策定までやってこそ, セキュリティ対策が実現できたと言えると思います. ここに収録された資料は, それぞれの組織体に応じたセキュリティポリシーやガイドライン, チェックシートの作成に活用できると思われます.
仕事をする上で, コンピュータが苦手だからと言って逃げる人も含め, すべての人に読んでもらいたいと感じました. 組織においては危機管理体制は絶対必要なことです. それは技術面だけでは実現されず, 組織に参画するすべて人の意識にかかっています. その意識を高めるには絶好の本です. コンピュータが苦手な人でも理解できる部分がかなりあります.
価格 1,600 円の設定は, コンピュータにあまり興味のない人はちょっと食指が動かないかも知れません. 専門的記述を省くなら安価になると思いますが, それでは表現しにくい部分もあります. 内容と価格を考えるなら安い価格で充実した内容だと感じました. 社内, 組織内, 学校内などで教科書的な利用をすれば, セキュリティの意識を高めることができると思います.
情報化, ネットワーク化が進んだ社会では, あらゆる立場の方が読んでおくべき本だと思います.
最近, コンピュータセキュリティに関する話題をテレビや新聞でも目にすることが多くなった. システムプロバイダやユーザー企業のシステム担当者としてコンピュータシステムの導入/運用に当たる者にとっては, 担当するシステムを円滑に運用する上で最優先課題の一つとなっていることだろう.
だがセキュリティ問題が一般に正しく認識されているかと言えば, さにあらず. コンピュータシステム導入の費用にセキュリティ対策を盛り込む際に ユーザーの理解が得られにくいというのが, 現状ではないだろうか. そのような場合にこの本はシステム管理者にとって強い味方となると思う.
一言でセキュリティホールといっても, ソフトウェアに起因するもの, ハードウェアに起因するもの, 運用上発生するものなど多種多様だ.
セキュリティ専門家でもない限りこれら全てを手際よくまとめて説明することは難しい. 本書には, そのような説明を行うシステム導入/運用責任者, あるいはユーザーが読むことで システムの導入に当たり必要な処置について認識を深めることが出来る内容がまとめられている.
例えば, 第 1 章の『ネットワークのセキュリティホール』では インターネットの基盤である TCP/IP が元来脆弱性を持つという指摘から始まり, 成りすましやパスワード偽造, DDoS 攻撃など具体的な危険とその対策を示している. こういう内容をシステム担当者とユーザーが共有することはセキュリティ対策を施す上で非常に有益だと思う.
セキュリティ対策といえば誰でも思いつくのが, ウイルス検出ソフトの導入やファイアウオールの設置だ. しかし, 本書ではセキュリティシステム導入後の運用・人的な管理についても多くのページを割いて解説してある. 特に「セキュリティポリシー」の策定・「セキュリティ対策の限界」を説く部分について 「セキュリティ対策・これさえ守れば大丈夫」的な安易さと一線を画すように感じた.
また人的な要因 (パスワードの管理・不正行為) により コンピュータシステムやデータが脅威にさらされる点を強調している部分も, システムを導入するユーザーにとって重要な問題点を適切に指摘していると言える.
本書全体の構成は, 第 1 章のインターネットの基盤技術の解説から始まり, 2 章から 4 章にかけて個人情報の漏洩やコンピュータウイルスなどの事例, 5 章にセキュリティ対策を施すネットワークの設計指針, 6 章以降はソフトウェア・ハードウェア的な対策では限界があることを指摘した上での 組織的・人的なセキュリティ対策の立て方といった流れになっていて, 最後はセキュリティ監査の話で締めくくられている. 話の順序としては問題は無いと思うのだが, 途中で出てくる用語が, 「スイッチングハブ」や「ネットワーク保険」など広範にわたっていて, 読み終えた後で「焦点が絞れなかった」という印象を受ける. 先頭にフローチャートのような手法で, セキュリティ問題の原因と対策の流れを示すと分かりやすいのではないか.
| 第 2 章 | 個人情報の漏洩の危険について, 漏洩するルートと危険性について述べているが, 特にシステムの整備では防ぎきれないユーザーの不用意な行為で個人情報が漏洩する危険について 注意を喚起している点が, 好ましい. |
| 第 4 章 | ウイルスによる被害について. ウイルスチェックソフトの常時監視機能は停止しておくよう勧めているが, この点については疑問だ. |
| 第 5 章 | ネットワーク導入時の対策を解説, OS 選定の中で WindowsOS が現在抱えている問題を指摘している. |
| 第 7 章 | システム設置後の維持・運用について, システムによらないセキュリティポリシー確立, リスクマネジメントについて. このあたりが, とかく「システムを導入すること」に主眼を置いて機械を入れたから後は全てよし という考えに陥りがちな傾向を戒めるものでよいと思う. |
ここまで述べたようにとても優れた本書であるが, 敢えて苦言を呈するならば, 内容が総花的すぎるという点だ. 全体の構成のところで挙げたようにコンピュータセキュリティに関する様々な事項が網羅されていて, それはそれで嬉しいことなのだが, 扱う内容が広範すぎて個々の項目がぼやけている感がある. しかしこれは本書の著者の責に帰することではなく, コンピュータシステムに携わる者が個別の問題について知識を深めたければ, 各分野に特化した専門書を読むべきなのだろう. はじめに述べたように本書はシステムに直接携わる者でなく, ユーザーに対して読むように勧める本なのだから.
なぜ, この本に対し「日本の Linux 情報」でブックレビューアを募ったのか? 私が思うに「日本の Linux 情報」の閲覧者の多くは Linux の管理構築を行っているユーザで, それらのユーザの期待しているセキュリティ情報と本書の内容はずれているのではないのか? と言うのが率直な感想です.
書籍の序盤はユーザアプリケーションについて, 中盤はサーバサービスやインフラについて, 終盤はセキュリティポリシーについて書いてありますが, 序盤,中盤は ページ数の割に満足度はかなり低めです.
書籍のタイトルとなっている「図解」もあまり効果的とは言えず, セキュリティ対策についても最近の環境にマッチしていない項目もいくつか目にしました. 説明も IP ネットワークを理解していることが前提で進められているところもあれば, PC 初心者向けのような回りくどい所もあり, 読み進めていく事にかなり苦痛を感じてしまいました.
後半のセキュリティポリシーについての内容は, まだセキュリティポリシーの定まっていない企業のネットワーク管理者や, 経営者の方には是非読んで頂きたいと思える出来になっています. インテグレータの方も役に立つ情報は多いと思うのですが, 文章中何度も出てくる「業者は信用するな!, 信用すれば意味の無いものを高く売りつける」的な発言にカチンと来ると思います, 現に私も「なぜ決めつける?」と面白くない気持ちもありました. ただ裏を返して考えれば, 業者にすべてを任せきりにするのではなく, 発注者自身がある程度勉強して業者とのコミュニケーションをとり, 曖昧な注文はすべきではない, 曖昧な注文を行えばセキュアな環境は手に入れる事は出来ませんよと言いたいのだと私は思います.
全体的に, この本を読んで何が出来るようになるといった事はないでしょう, エンジニアが求めるような情報もありません, そしてコンシューマユーザのほしい情報も無いでしょう, だからと言ってこの本が意味の無い物というわけではありません. 書籍の後書きに, 「しかし, 本書はビジネス書でもあります」とあります, 私はこの後書きを本文を読み終わったときに初めて読んだのですが, 妙にそれで納得してしまいました. 私は後書きを読むまでコンピュータ書籍を読む感覚で読み進めていました, そのため「何故, ここをもう少し詳しく記述しないのだろう?」や「そんなことは理想論で実際の運用にそぐわない」等と, この書籍に対して少なからず疑問を抱き続けていたのですが, ビジネス書籍を読む視点に換えて思い返してみると, セキュリティのイメージがそれなりに伝わりやすいと思える内容だと言えます. ただし, ビジネス書籍であったとしても各用語についての説明はあまりにも簡単すぎる説明だったので, 巻末に用語集等を設けて置くことで更に分かりやすい書籍になったと思います.
この書籍は細かな情報を伝えるものではありません.
ネットワークセキュリティとは常に漠然とした脅威が付きまとうものであり, 継続的に安全なセキュリティ設定などは存在しない事, そして管理者は自己の防衛意識を常に持ち続けなければならない事を的確に伝えられていると思います.
ネットワーク管理責任者の方は, 自分の管理下にあるネットワークの脆弱性や矛盾を, 把握, 改善するのに役に立つでしょう.
経営者の方は, 「ネットワーク管理者が要求する予算がなぜ必要なのか?」ということや, 会社の経営システム自体に存在するセキュリティホール, 安易なインターネットサービスを提供することの危険性などを知ることが出来るでしょう.
これからセキュリティポリシーを設計しようと考えている企業様でしたら, 業者に相談する前の参考書として役に立つ内容であると思います.
「日本の Linux 情報」の「ブックレビューコーナー」でレビューアを募集する対象書籍としては,
の 3 種類に分かれると思いますが, 本書は (3) に相当します.
ネットワークセキュリティの問題は, インターネットの普及, 一般化に伴いネット関連の犯罪が一般新聞紙上を賑わすようになった昨今, ソフト屋の世界から離れた一般ユーザの中でも切実な問題となりつつあります. 最近, インターネット (PC) 初心者にインターネットについて説明をする機会があり, その中でセキュリティ問題の話題についても時間がありました. それらに関連しても今回のレビューア機会を活用させていただきました.
最初にも述べたように, 本書は Linux の解説書ではありません. したがって, Linux のネットワークやサーバ関連の解説書にでてくるような 各種サービスの具体的設定や運営・解析のためのログ管理方法等の記述はありません. これらを期待する場合は別途 Linux もしくは各ディストリビューションに特化したネットワーク構築の解説書が多数出版されていますからそれらを読むべきです.
本書の章立てとしては, 8 章に分かれていますが, 前半の 4 章は主に一般ユーザ向けの解説で,
で構成されています.
初心者が新たにネット社会に乗り出すための解説として読んでも良いし, 中上級者であっても自分の周りの環境をもう一度見直す意味で一読する価値があります. また, 管理者クラスであれば, 自社または関連する組織において, 初心者への解説の機会や, 組織内のネットセキュリティ確保のための啓蒙活動の必要があるので, これらの参考資料として利用できるのではないでしょうか. 例えばメールアドレスの決め方などは初心者への指針としてそのまま転用できそうです.
後半の 4 章は, 管理者向けの解説で,
といった内容になっています.
セキュリティ確保のための Tips が多数記述されているので, システム管理者が自分のシステムのセキュリティ設計や見直しを実施するにあたって利用できるのではないでしょうか. 但し, 具体的なシステムパラメータの設定等は書かれてはいないので, 少々もの足りないかもしれません. そのかわりと言ってはなんですが, 全くの初心者には少し難しいところもあるかもしれませんが, 多少の知識があれば, 充分理解できる内容であり, システムに対して何らかの責任のある人がネットワークセキュリティとは何かと理解するには最適だと思います. また, サーバー用 OS としては Linux がお勧めといったくだりがあったりして, 日頃 Linux の利用をしている者にとってはちょっと嬉しい記述もあります.
本書のタイトルに「図解入門」とあるように, 2 色刷りの図や表が多数配置され初心者でも理解しやすいように構成されています. ただし, 多くはないのですが, 画面のハードコピーを使った説明は Windows のものです.
また, 各章末に配置されたコラムはセキュリティ問題を初心者に説明するためのネタとして活用できそうです.
巻末には一応索引も準備されているので, 目次とあわせて特定の話題をあとで探すことにも配慮されています.
但し, 「セキュリティ」という話題を取り扱っている関係上, 詳しく解説をするとセキュリティを脅かす者に対して逆にヒントを与え悪用されるおそれがあるので, あえて記述をぼかしてある, または, 省略してある部分があります. これらは消化不良ぎみのところもあるので, 説明方法を工夫するなりして, もう少し踏み込んだ解説をしてもらいたいところです.
本書は, Linux のためのネットワークセキュリティの解説書ではありませんが, ネットワーク上の危険とその対策について分かりやすく解説してあります. ネットワークセキュリティについて, 初心者には入門書として, ベテランには初心者に説明するための資料と自己の管理方法の再確認のために軽い気持で一読してはどうでしょうか.
セキュリティ意識の向上のための, 教科書, ガイドとしての活用もできそうです.