秀和システム様
と執筆を担当された
バーテックス リンク コンサルティング 佐々木耕三様のご厚意により,
書籍 "よくわかる最新ネットワークデザインの基本と極意" を
ブックレビューコーナー にご献本いただきました.
この本のレビューをして頂くべく,
Linux Users ML
や本サイトにおいて
公募
を行い,
これにご希望頂いた方々より感想などをレビュー記事にまとめていただきました.
ここに, レビューアの方々から寄せられたレビュー記事を公開します. (原稿到着順)
秀和システム様, 佐々木耕三様, および レビューアの皆様のご厚意に感謝いたします.
なお, 以下のレビューは初版を対象としています.
この本は, とりあえずネットワーク技術の入門は終えて, さて実際にネットワークのデザインをまかされようか, という人にとってのスキルアップに有用であろうと思われます. 図解入門シリーズはいくつか持っていますが, この本はそれらの中でもスキルアップ教本ということで, ある程度の知識を前堤として書かれているので, 全くの初心者にはかなり難しいのではないかと思います.
内容は, 「ネットワークデザインの基本」, 「ポリシー設計」, 「セキュリティ監査, 脆弱性監査の実施」, 「監査, 結果別対応策と設計改善法」, 「安定運用のノウハウ」, 「ネットワークの常時監視」という章立てになっており, 充実した内容となっています. プログラマをしていた人がネットワークデザインをまかされた場合, ツール等の理解は容易だとしても 大元となるポリシー設計や監査基準などはかなり (いわゆる) 文系的な, 理解・実践し辛い分野と思われますが, それらについてもかなりしっかりと説明をしてあり, 大いに助けになるでしょう. 図もふんだんに使われており, これらも理解の助けになっていると思われます.
全体的に教科書として使えるような丁寧な書き方ですが, その分個々の項目について, 詳細に論じるペースの余裕がなく, 少し物足りなく感じるところもあります. もちろん参考文献リストがあるのでそれをたどっていけばよいのですが, 紙面の制約とはいえ少し残念なところではあります.
例えば各種ツールに関しても (nmap と nessus はある程度説明されていますが) 紹介だけになっている部分が多かったり, といったところです. 攻撃の具体的手法についてももう少し言及があれば, と感じます.
上にも述べたように図解入門シリーズはいくつか持っていますが, それらの中でも特にネットワークスキルを磨くのに おすすめの 1 冊となっていると思います.
コンピュータを扱う上で, セキュリティの確保は今や避けられない問題である. そのためには, まず第一に, コンピュータ内部に蓄えた個人情報などを外部に漏らさないための方策と, 第二に外部からの進入やウィルスを含めた攻撃への対策の両方を十分に考慮する必要がある. 本書はコンピュータネットワークを構築し, 維持する上でどのようなセキュリティ対策をとり, 運用していけばよいかをまとめた本である.
内容としては, 特に Linux に焦点を当てているわけではないが, Linux を扱う場合, サーバーの構築や運用を通してネットワークのセキュリティ対策に関わることが多いであろうということで, 今回の書評に採用されたのだと思う. 実際, 本書の内容をみてもわかるように, 読者の対象としては, コンピュータネットワークにある程度の知識を持っており, セキュリティ対策の必要性も感じているが, どのように進めればよいか迷っている人をまず第一に考えているように思えた. ただし, 内容がやや総花的すぎ, 実際にネットワーク構築に携わる人を対象にしているのか, あるいはプロジェクトマネージャー的に全体の指揮に関わる人を対象にしてるかがややわかりづらかった.
コンピュータセキュリティを考える上で, 技術的な側面が重要であることは言うまでもないが, それと併せて, 組織全体としてどのような対応をとるかと言う点も重要である. 本書では, 最新のソリューションの紹介として, セキュリティを確保するための技術についても解説されているが, 実際に設定などを行う見地からと言うよりも概念の説明にとどめ, その分ポリシーの設定や, 監査の方法など組織的な取り組みの方法に重点を置いているように見える. 副題にスキルアップ教本とあるように, その点では, セキュリティ対策のためのキックオフミーティングの教科書的な使い方等を想定していると思われる.
一方, 図については, 図解入門とあるにもかかわらず, あまり効果的に使われていないように思えた. セキュリティ対策の教科書としてよくできているだけに, この本を元に講習会などを企画する際に役立つような, 概念的な図もできるだけ多く入れてもらえると役に立つように思える.
第 1 章は, コンピュータネットワークの概念的な説明と, 暗号化など中心とした最新技術の解説である. ここでは, すでにネットワークの構築などについてかなりの知識を持つ人を対象としており, 1-2 ではネットワークの階層化の例として, Active Directory の解説がなされている. それぞれの解説は個々の技術を具体化するには不足だが, 後半のポリシーなどの設計においてキーワード的に理解しておくための内容といえるだろう.
2 章では, セキュリティポリシーの概念から実際に策定するための注意点などについて, かなり詳しく解説されている. この部分は組織としてどのように対応するかに焦点が置かれるので, 技術説明というより, どのような手順で作成していくかといった観点から解説がなされている. 書面が限られていることもあるが, もう少し具体的な例があると理解しやすいと感じた.
第 3 章と 4 章は, 実際にセキュリティ対策をとった後の維持方法として, 監査の方法とその対応について解説がされている. 監査のためのソフトウェアとして, nmap と Nessus について述べられているが, 個々の技術より監査の概念的な説明に焦点が当てられていると感じられた.
最後の 5, 6 章では, 実際の運用に必要なネットワークからの攻撃への対処法と, ネットワークを監視するための方法について述べられている. 全体を通じて, 技術的な側面より概念や組織としてどう対処するかといったことに重点が置かれているので, 2 章以降の内容は, 実際に運用を任される人より, セキュリティ対策の中核にたって全体のマネージメントに関わる人にとって参考になる内容となっている.
以上のように, 本書では技術的な側面は最小限に抑え, 全体の概念を詳しく説明しているが, それぞれの内容と関連の深い解説や, ソフトウェアのサイトへのリンクも数多く紹介されている. また, 最後には, 付録として, 経済産業省のサイトからの情報セキュリティ監査基準が紹介されている. ネット上で閲覧できる資料なので, 特に必要もないのかもしれないが本書の 3, 4 章と併せて読むことでより理解が深まると思う.
コンピュータセキュリティの分野は技術の進歩が激しく, ともするとその方面ばかりに目を奪われがちだが, 組織として対処するためには, それぞれのプロセスを確実に実行できる仕組みを作ることも大切だと思われる. 本書は, 技術的な解説の点ではやや物足りないものの, ポリシーの策定や, 監査, 運用の面に, 多くのページを割いている点でむしろこの種の本としては陳腐化しない利点があると思う. 組織的に上の立場に立つ人に是非読んでいただきたい本である.
本の内容は, ネットワークの仕組みからネットワークの監視までと実に多岐に渡っています. 出だしは単純な LAN の解説からとなっており, 一見初心者向けかと見受けられる部分がありますが, 本全体はそうではなく, ある程度の知識がないと恐らく内容を理解することが出来ません. 語句の説明は一応ありますが, 一部だけなので分からない部分等は, 自分で調べる必要があります. しかし, 始めに書いてあるようにネットワークの要所を的確に押さえ, さらに実利的な情報のみを概説してあるので, 従来からあるようなネットワークの理論だけを述べた本や, ネットワークの局所的システム解説しかなされていない本と比べ, 今までにはなかった新感覚の一冊となっています.
従って, ある程度の知識は持っているが, ネットワークを運用するに当たって具体的に何から始めればいいのかという 疑問を持っている人に最適な本と言えます.
前で初心者向けではないと書きましたが, 本のデザインにおいては, 非常に取っ付き易いもので初心者向きとなっています. このレベルの本だと, つい表記等のデザインが難しくなりがちですが, この本では最後まで一定のレベルを保ちながら 初心者向け特有の読みやすさを持続させているのは, 評価のポイントだと思います. 全体的に図が多いのも読みやすさに寄与していると思います.
また, 具体的にアプリケーション名が明記されており, 本の内容で納得するだけでなく, コンピュータを使用して実際に動作を試すことも出来ます. 本に収録 CD 等は添付されていませんが, フリー版やトライアル版等の紹介やダウンロード先の URL も表記されているので, 添付されていないことに問題はありません. さらに, 具体的な例が各所に挙げられているので, 著者が意図することが非常に分かりやすく, そういった些細な部分においても評価出来ます.
(全体を通して脚注が少ないということもありますが) 説明がある部分とない部分に差が若干あります. これは人によって違うかもしれませんが, ある程度のレベルを決めて脚注を付けてあると良かったと思います. さらに, 同じ内容の脚注が複数あったりするので, 一箇所にまとめた方が良いです. 尚, 具体的に例を挙げると第 1 章には文字間違いも若干あるようでしたし, 図から意図を理解しにくい部分もありました. また, これは改善ということにはならないとは思いますが, この本の大筋である 分析・設計・構築の構成比ですが, 5 : 2 : 1 とその他 2 といった感じでしょうか. 最近の傾向とその対策等の分析に関しては, 結構な量が記載されています. しかし, 設計になると分析に比べ記載量が半分ほどに減り, 構築に関しては, ほとんど記述がありません. その他というのは, 構築後の運用に関しての記述と付録です. 但し, 記述によっては分析なのか設計なのかなど, 区別しにくい部分があり, 読む人によって構成比は変わってくると思います.
従って, この本を読めばネットワークを構築できるというわけではなく, 実際にネットワークを構築する場合は, 別に参考書が必要になります. 位置づけとしては,説明書・解説書の類ではなく, 教科書に近いと思います. しかし, 仮にこれらを除いたとしても, 十分読むに値するボリュームとなっています. ここで挙げたのは, 本当に些細な項目で, 致命的な部分は一切ありません.
以上のことから, ネットワークに少しでも携わる方は, 是非手元に置いておきたい本となるはずです. これは個人的見解ですが, この内容で 1600 円は, かなり安価で値段相応以上の価値があると思います. また, 2005 年 4 月に施行された個人情報保護法も各所に織り交ぜられており, 最新情報が求められるネットワークにおいて貴方の必携の書になることは間違いないでしょう.
書名からは, もっと設計について比重が置かれたものを想像した. 読みながら, 書名を「ネットワーク運用の基本と極意」とした方がよいのではないかと思ったくらいだ. それくらい, 運用については詳しく書かれていると思う. ツールの使い方は, 画面も交え, 具体的に紹介している部分もある.
著者はこう書いていないが, 「ネットワークを運用する立場から設計を考える本」を執筆したのだと思う. 目次で章分けを確認すると, 設計よりも, 運用・管理を重視しているように見える. ただ, 中身を読んでいくと, 目次を見ているだけではわからない章・節で設計について述べている箇所がある. 章のタイトル, 節のタイトルに改善を求めたい.
このレビューでは, 問題だと感じた部分と改善案を中心に記述する.
ポリシー策定について述べている. 「ネットワークデザイン」という言葉をタイトルに入れている本だから, ここが要のはずだ. ネットワーク設計, 管理, 運用の基本になる考え方がポリシーであり, その策定について何が書いてあるのかについては, 非常に興味があった.
残念ながら, 通り一遍の解説になってしまっているように感じた. 読んでわかったような気になるだけで, 具体的にどうすればいいのかまではわからない. 読者自身で事例を探して, 併せて読むようにした方が良い. 1 つでもいいので事例が欲しい. ただ, ポリシーの見直しについては 4 章で p.145 より, 詳しく述べられている. その旨記載があるとよい.
ネットワークの監査について述べている. 3 章では, 巻末に収録されている情報セキュリティ基準に触れていない. 文中では, 別の文書への URL がいくつか示されている.
4 章の冒頭で, 情報セキュリティ基準に詳しく触れている. この部分は, 3 章に入るべき内容である.
章題が「ネットワークの常時監視」なので, 運用について書かれた章かと思いきや, 設計に深く関わる内容である. 「常時監視のためのネットワーク設計」という章題を提案する.
読みながら気付いたところに付箋を貼った. 後で数えてみると 10 箇所弱あった. 多くはないと思う.
このレビューを執筆している時点では, 出版社のホームページに正誤表は掲載されていない. また, どこに連絡したらよいのかも, すぐにはわからなかった. 出版物から誤字をなくすことはできないので, 出版の前に URL を決め, 専用ホームページを用意するくらいの対応があってもいい. 巻末にその URL を掲載しておき, 読者がすぐに正誤表などの追加情報を得られるようにしておくというのはどうだろう. 出版時には内容は空でもいい.
二色刷で, Maroon に近い色が使われている. Maroon は, twm のデフォルト色と言えば, 分かる人には分かるだろう. 下手にカラーで多くの色を使うよりも, 落ち着いて読みやすい.
この色遣いで一ヶ所だけ気になるところがあった. p.180 の図中, 線の色で経路の暗号化の有無を区別しているのだが, 見分けがつかない. 線種での区別に変更してほしい.
タイトルにある「極意」に至る内容になっていないというのが読後の印象です. しかし, ネットワークセキュリティをいかにしてデザインに取り入れていくべきかを考えるポイントを示しており, ネットワークデザイナーをこれから志す方に, 第一歩を踏み出すための足がかりとして読むことをお勧めします.
すでにネットワークデザインに携わっている方など, 既に第一歩を踏み出している方には物足りないかもしれません. 本書を読む際には, 記載された URL などを参照しながら読み進めるとよいでしょう. 全体的に機密性に重点が置かれていて, 完全性や可用性についてはあまり記述されていませんので, 他書で併せて知識を得る必要があります.
Linux に触れているところはほとんどありませんが, Linux でも動作するツールや製品が紹介されています. オープンソースという言葉は出てきません.
本書は, ネットワークデザインについてトップダウンでの時系列に沿って章が並んでいますが, ネットワークデザイン自身の流れの全体像が示されていません. そのため, 一読後に改めてネットワークの分析・設計・構築の各フェーズに立ち戻り, それぞれのフェーズで行うべきことを自分で整理する必要があります. 第 1 章はネットワークデザインの基本というよりもネットワークの情報セキュリティの基本が記述されています. 第 1 章の図には誤字が多いので注意が必要です. 付録の資料は経営者向けと考えてよいでしょう. 以下に第 2 章以降の内容について触れます.
本書では, 情報セキュリティポリシーの周知における経営者の関与については言及されていませんでした. 担当者レベルで全社に周知するのは難しいので, 経営者による承認と宣言 (支持の表明) のプロセスを盛り込む必要があると感じました. 「セキュリティポリシー」という用語が「セキュリティ基本方針」を指す場合と 「情報セキュリティポリシー」全体を指す場合とが混ざって記述されていますので, 文脈に沿って読み分ける必要があります. 脅威抽出やリスクマネジメントの具体的な手法は残念ながら記載されていません.
助言型監査と保証型監査について触れられていませんが, ISMS 適合評価取得を目指す (第 2 章) よりも助言型監査を受けるほうがステップとしては良いと感じました. また, 執筆時点では間に合わなかったかと思いますが, 経済産業省が「企業における情報セキュリティガバナンスのあり方に関する研究会」報告書をまとめており, その中で「情報セキュリティ対策ベンチマーク」を公開しています. ネットワークに特化しているわけではありませんが, これを利用して自己診断を行うのも一つの方法だと思います. 同ベンチマークは, 2005 年 8 月 4 日付けで, 「情報セキュリティ対策ベンチマークシステム」として IPA より利用可能になっています (http://www.ipa.go.jp/security/benchmark/index.html).
情報セキュリティ監査基準と同管理基準を混同して使用されている箇所があります. 監査項目と説明が列挙されていますが, 表にした方が見やすいだろうと感じました. 他の部分と同様に考え方だけを示し, 詳細は付録にしても良かったと思います.
IPMI の説明に一節が割かれていますが, むしろ SNMP 利用の解説が欲しかったところです. 安定運用と常時監視はセキュリティ以外の面からも密接に関連しますので, 章を分けずに記載しても良かったと思いました.
本書はネットワークデザイナーを目指す初心者向けと考えてよいでしょう. しかし, 内容の深さのレベルがまちまちで, 初心者には誤解されると思われる部分があります. 記述の視点があまり定まっていない感があり, 読者対象を広げようという試みが逆効果になっています. 経営者層にも読んでもらえるようにという筆者の想いが, 視点拡散の原因の一つではないかと思います. ネットワークデザイナーを志す方の視点か, これから情報セキュリティを学ぶという視点に的を絞ってしまったほうが, さらに充実した内容になったのではないでしょうか. ネットワークデザインに関する情報セキュリティについて, 本書のような価格と頁数で書ききるのは難しいことだと思いますが, それゆえに筆者には対象をしっかりと絞って記述していただきたかったと感じました.
読者には, 自分で調べることを前提としてこの本をお勧めします. ネットワークデザイナーとして何から始めてよいのか迷っている方は, この本を足がかりにして次のステップのためのスキルアップを目指すとよいでしょう. 具体的な考え方や手法にまで踏み込んでいる部分は少ないですが, 考慮すべきポイントは提示されていますので, そこから具体的なリスク分析の手法や法制度, 技術的な手法を調べて知識と経験を積み上げてください.