RSA 2014で注目のセキュリティ関連書籍

最近のスキャンダルにもかかわらず、RSAは今でもセキュリティ業界の一大イベントとみなされています。極めて有能なエキスパート、経営者、インフルエンサーが集結するイベントです（ただし、取り上げられるセキュリティ技術という点では、Security Analysts Summitが業界最高のイベントだと考えられています – 私見ですが）。内輪に閉ざされた世界であるセキュリティエキスパートのコミュニティとつながり、その一部になったと感じるためには（つまり、最新のトレンドについていくには）、情報を集めてセキュリティ関係の本を読むのが一番です。ただし、読むといっても膨大な量ですが。Kaspersky Dailyでは昨年、RSA 2013のベストセラー書籍の総括を記事にしました。今年も、セキュリティ業界の第一人者たちが今年選んだ書籍を紹介しましょう。

1. 『Googling Security: How Much Does Google Know About You?』

今年の恐怖本といえば、これ。Googleの「無料」サービスを利用すると、自分自身の個人情報という大きな対価を支払うことになります。Googleは、ユーザーに関する情報によって巨額の利益を上げているのです。同社がどれだけの個人情報を抱えているかを知ったら、ショックを受ける人もいるかもしれません。『Googling Security』は、Googleの巨大な情報データベースがどのような形で利用されて私たちや会社に牙をむく可能性があるのか、そして私たちが身を守るために何ができるかを明らかにした初の書籍です。

Googleハッキングについて書かれた他の本と違うのは、IT知識のある人がGoogleの検索結果から知り得る情報にとどまらず、Googleの人気アプリを使うと公開されてしまう情報まで網羅している点です。米陸軍士官学校のコンピューター科学の教授である著者のグレッグ・コンティ（Greg Conti）氏は、Googleマップ、Googleトーク、Googleグループ、Googleアラート、Googleの新しいモバイルアプリ群などがプライバシーに与え得る影響を明らかにしました。セキュリティに関する自身の先進的な研究を基に、コンティ氏は、Googleが社是たる「do no evil」（邪悪になるな）の誓いを守れたとしても同社のデータベースが悪意のある人物に利用される恐れがあることを示しています。

Google検索を使ったときに残る足跡が何をもたらすのか、この本では明らかにされています：

• 友人、家族、知り合いといった個人的な人脈を追跡するためにGmailが利用される可能性
• Googleの地図や位置情報のサービスによって、自宅、勤務先、家族や友人、旅行計画、意図が公開されてしまう可能性
• Googleなどのオンライン企業が蓄積する情報が漏えい、紛失、盗難、共有される可能性、証拠として提出される可能性と、さらにはなりすましや脅迫に利用される恐れ
•  Googleの広告サービスAdSenseおよびDoubleClickがWeb上でユーザーをつけ回す可能性
•  意図せず公開されてしまう、または渡している個人情報を体系的に減らす方法

この本は、1つの警鐘であるとともに、自衛のための「ハウツー」を紹介するマニュアルでもあります。一般市民からセキュリティのプロに至るまで、Googleを利用するすべての人にとって不可欠な情報源です。

2. 『Hacking Exposed 7: Network Security Secrets & Solutions』

プロは他人が犯した過ちから学びます。Sonyチームの最高セキュリティ責任者（CSO）と、米連邦捜査局（FBI）の次官がこの本を推薦しているということは、何か重要なことを示唆しています。

「ゼロデイ攻撃、APT攻撃、国家が支援する攻撃が新たな現実となっています。セキュリティのプロはこれまで以上に、ハッカーの心理、手口、ツールを理解し、こうした激しい攻撃を防いでいかなければなりません。今回の版では、犯罪者に後れを取らないよう最新の攻撃手法について解説し、進化を続ける脅威に対抗する手段を説明します。」 — Sony Network Entertainment、CSO、ブレット・ワーリン（Brett Wahlin）氏

「攻撃を受けるだけの側に回るのはもう終わりにしましょう。ルールを変えるのです。ネットワークを保護する方法を根本から変えるときが来ました。『Hacking Exposed 7』は私たちの敵に打撃を与える手段を教えてくれます。」 — FBI元次官、ショーン・ヘンリー（Shawn Henry）氏

エキスパートからのアドバイスと、世界的に有名なHacking Exposedチームの防衛戦略によって、システムのセキュリティを強化し、サイバー犯罪者のツールや戦術に打ち勝ちましょう。ケーススタディでは、ハッカーの新たな手口が明確に説明されているほか、実環境でテスト済みの対処方法も紹介されています。インフラストラクチャへのハッキングを防ぎ、APT攻撃の被害を最小限に抑え、悪意のあるコードを無効にし、Webアプリケーションやデータベースアプリケーションを保護して、UNIXネットワークの守りを固める方法を学びましょう。『Hacking Exposed 7: Network Security Secrets & Solutions』には、まったく新しいビジュアルマップと「対抗手段マニュアル」が含まれています。

•  APTとWebベースのメタエクスプロイトを防ぐ
• UNIXベースのルートアクセスとバッファオーバーフローによるハッキングを防御する
• SQLインジェクション、スピアフィッシング、コード埋め込み型攻撃をブロックする
• ルートキット、トロイの木馬、ボット、ワーム、マルウェアを検知して削除する
• ICカードやセキュリティトークンを使用したリモートアクセスを制限する
• 802.11 WLANを多層の暗号化とゲートウェイで保護する
• VoIP、ソーシャルネットワーク、クラウド、Web 2.0サービスのセキュリティホールを塞ぐ
• iPhoneとAndroidに対する最新の攻撃と、その対策について学ぶ

3. 『Big Data For Dummies』

現代はクラウドの時代。これはつまり、自社ビジネスの未来を理解し計画を立てるには、膨大な量のデータの管理と分析を行い、自社ブランドの利益のために活用するための方法を学ばねばならないということです。ビッグデータの管理は、まだ新しい概念であるだけに、企業や業界そして非営利団体が直面する難題のひとつです。ビッグデータソリューションを効果的に開発/管理する必要に迫られているなら、4人のエキスパートがこの新しく理解しづらい概念を定義・説明・解説するこの本が役立つでしょう。ビッグデータとは何なのか、なぜ重要なのか、有効なソリューションを選んで導入するにはどうすればいいのか、この本から学ぶことができます。

•  ビッグデータの効果的な管理は、企業、非営利団体、政府、IT専門家の間で重要度が高まっている問題
• 著者は情報管理、ビッグデータ、各種ソリューションのエキスパート
•  ビッグデータを詳しく説明し、ソリューションの選択と導入、考慮すべきセキュリティの問題、データの保管と提供、分析などについて解説
• 極めて重要な情報が、わかりやすく実用的なスタイルで書かれている

4. 『Unmasking the Social Engineer: The Human Element of Security』

ソーシャルエンジニアリングは間違いなく、RSA 2014の書店コーナーで大きな注目を集めたトピックの1つでした。この本の意図は、言葉外のふるまいを利用したソーシャルエンジニアの見極め方法を企業に学ばせることです。

この本は、言語外コミュニケーションの技術と、それを実践するソーシャルエンジニアや詐欺師が標的との間に信頼関係を築く方法とを解説して、技術と実践をリンクさせることを意図しています。また、ソーシャルエンジニアや詐欺師を見分けられるように、ソーシャルエンジニアや詐欺師の言語外行動を分析して見せています。攻撃の仕組みや言語以外のコミュニケーションについて解説するほか、言語外の行動とソーシャルエンジニアリングや詐欺との関係を図で説明します。

• ソーシャルエンジニアリングのセキュリティにおける実用面と技術面のつながりを明確に説明
• 詐欺師が使うさまざまな手口を紹介
• ソーシャルエンジニアを見極めるために、言語以外で注目すべき点を具体的に説明
• 言語外のコミュニケーションを読み取り、理解し、解釈するための科学的な実証済みの方法論を紹介。自らを守るために必要な知識を得られる

5. 『Social Engineering: The Art of Human Hacking』

要点からいきましょう。現在では、あらゆるセキュリティ基盤において最もぜい弱なのは人間である、と広く考えられています。そのことを思えば、いまどきのハッカーがNLPのテクニックに高い関心を示していても、驚くにはあたりません。この本では、多くのソーシャルエンジニアリングの手口の技術的な側面を明らかにし、詳細に分析します。

情報を引き出し、もっともらしい理屈をつけ、標的を感化し、操る。ソーシャルエンジニアリングをいくつかの側面に分け、現実に起きた例や個人的な経験を引きつつ、それらの裏にある体系的な技術を示して解説することで、ソーシャルエンジニアリングの謎を解き明かします。

ケビン・ミトニック（Kevin Mitnick）は、世界でも特に有名なソーシャルエンジニアであり、「ソーシャルエンジニアリング」という言葉を一躍有名にした人物です。ミトニックは、人をだましてシステムのパスワードを聞き出す方が、苦労してシステムにハッキングするよりずっと簡単だと言います。自分が使える手口の中で、ソーシャルエンジニアリングが最も効果的な手段であるというのが彼の主張です。この本は、警戒心の薄い人をだますさまざまな手口を検証するとともに、ソーシャルエンジニアリングの脅威を防ぐ方法を解説する、なくてはならない本です。

• 標的を感化し、思いどおりに動かし、情報を聞き出すテクニック「ソーシャルエンジニアリング」を検証
• なりすまし、詐欺、コンピューターシステムへの侵入の目的で情報を得ようとハッカーが使う多くの策略について、有益な情報を提供
• ソーシャルエンジニアリングの脅威を防ぐ上で重要な手順を紹介
• この本の役割は非道なハッカーに対抗する手段を読者に提供すること — 読者の役割はこの本の重要な情報を有効に活用すること

6. 『Leading Effective Virtual Teams: Overcoming Time and Distance to Achieve Exceptional Results』

私たちは今や「グローバル」です – サポートや研究開発など多くのITサービスが、最も高い利益が見込める地域にアウトソーシングまたは配置されています。そのため、世界に点在するチームを管理する必要に迫られる企業が増えています。どんな形態であれ、バーチャルチームのリーダーならば、この本を購入するべきです。以下を実現する方法を学ぶことができます。

• 全員が顔を付き合わせていなくても、チーム全体で信頼関係を築き、関係を深める
• 集中し意欲に満ちたバーチャルミーティングを設計し、促進する
• 権威なき影響力を行使する
• バーチャルチームへの動機付けと刺激によって、最高のパフォーマンスを引き出す
• リアルタイムのコミュニケーションと時間差のあるコミュニケーションを織り交ぜて、バーチャルなコラボレーションの質を高める
•  顔を合わせられない場合は、文化の違いや年齢の差を考慮する
• 離れていても、スキル、強み、適性を評価する
• バーチャルチームの足をすくいかねない難題を処理する

7. 『CISSP Exam Cram』

認定を受けたプロだけが、企業で情報セキュリティを担当することを許されます。CISSP認定試験に合格することは、こうしたITエリートになるための手段の1つです。この本は、CISSP認定試験オンライン版での合格を目指す人にとって最適な参考書です。暗号化、クラウドセキュリティ、情報ライフサイクル、セキュリティ管理/ガバナンスといった新しい分野を含め、試験に出題されるすべてのトピックを網羅しており、演習問題もあります。小テスト、試験での注意点、模擬試験2つなどの試験準備のツールが揃っており、CDの最先端テストエンジンでは、リアルタイムの演習とフィードバックを利用できます。

CISSP認定試験の合格に必要不可欠な情報が揃っています！

• 組織全体に効果的な物理セキュリティを敷く
• 信頼性の高い認証、権限付与、報告義務を適用する
• 検証、認定、認証が可能なセキュリティアーキテクチャを設計する
• 最新の攻撃と対抗手段を把握する
• 暗号化を使用してデータ、システム、ネットワークを保護する
• 事業継続性やディザスタリカバリのプログラムを体系的に計画し、テストする
• 現代のクラウド、Web、データベースのアプリケーションを保護する
• プライバシーからコンピューターフォレンジクスまで、世界のコンプライアンス問題に対処する
• ライフサイクルを通じて安全性の高いソフトウェアを開発する
• 効果的なセキュリティガバナンスとリスク管理を実施する
• ベストプラクティスのポリシー、手順、指針、統制を利用する
• 身元調査からセキュリティ監査まで、強力な運用管理を行う

8. 『CISSP Practice Exams, Second Edition』

この本は、ション・ハリス（Shon Harris）氏のベストセラー『CISSP All-in-One Exam Guide』とあわせて読むのに最高の本です。豊富な情報量と、読む人を引き込むスタイルが高く評価されているハリス氏は、ITセキュリティ認定のエキスパートとして広く知られています。

試験に的を絞った自己学習テキスト兼参考書として企画されたこの本は、CISSPの10の出題分野を100%網羅しています。分野別に整理されているため、自分の専門分野や苦手な分野を重点的に学習することができます。各設問の解答には、正解の選択肢も不正解の選択肢も、詳細な説明がついています。各章に25問以上の演習問題があり、さらに500問の演習問題がWebベースの環境に用意されています。特典として、ハリス氏による徹底的なレビューセッションを含む24時間分のオーディオレクチャーも利用できます。

9. 『Mobile Device Security For Dummies』

外出の多い企業ユーザーは、基本的にコンピューターよりもモバイルデバイスを使うようになりましたが、ほとんど保護されていないネットワークや、何一つセキュリティ対策が施されていないネットワークは無数にあります。この解説書は、ネットワーク保護のステップを解説し、企業内でモバイルデバイスの保護とサポートを担う強固なフレームワークの構築手順をガイドします。実環境におけるシナリオを紹介しつつ、モバイルデバイスから企業の機密情報が流出することのないように、価値あるアドバイスをわかりやすく解説しています。

• モバイルデバイスをセキュリティの脅威から保護するための、実用的で迅速なアプローチを紹介
• 具体的なハッカー対策、紛失や盗難の防止、データのバックアップと復旧など、重要なトピックを解説
• モバイルデバイス向けの保護手段を企業ネットワークへ導入するための重要なアドバイス
• アプリケーションのきめ細かなアクセス制御とVPN利用のメリットを説明

10. 『Mobile Authentication: Problems and Solutions』

著者は機械による人間の認証に注目し、特にモバイル環境を詳しく取り上げています。機械による人間の認証は、驚くほど複雑な問題です。2000年以前のかつてのコンピューターセキュリティでは、人間という要素は無視されていたも同然でした。考え方は2つしかなく、人間は支持に従うべきだし、それができるだろうという前提か、エンドユーザーは救いようがない存在で、いつも間違いを犯すという前提のどちらかでした。もちろん、真実はその間のどこかにあり、それこそが、このトピックをとても興味深いものにしています。人間と機械の両方を理解しなければ、機械による人間の認証を発展させることはできません。モバイルセキュリティといっても、コンピューターのセキュリティを単純に携帯機器に移植すればいいというわけではありません。携帯機器には従来のコンピューターとは別の制約があり、使われ方も違います。テキスト入力が面倒なため、短く、あまり複雑でないパスワードを使ってしまいがちです。覗き見を防ぐのも、コンピューターより困難です。これらを念頭に設計しなければなりません。また、具体的にどうやって生体認証を組み込み、最大限のメリットを得られるようにするかを決定する必要があります。この本は、これらを含むさまざまな問題を扱っています。

必読の一冊です。

11. 『Malware, Rootkits & Botnets A Beginner’s Guide』

セキュリティをテーマにした『ロック、ストック&トゥー・スモーキング・バレルズ』のような本です。関わっている組織の形態を問わず、私たちのセキュリティに対する姿勢を正し、まん延しているネットワーク攻撃に対抗するための助けとなってくれるでしょう。表題にあるマルウェア、ルートキット、そしてボットネットの性質や巧妙さや危険について説明し、これらを阻むためのベストプラクティスを紹介しています。

この本では、脅威の現況を振り返った後、脅威のライフサイクル全体を解説し、サイバー犯罪者がどうやってマルウェアやルートキット、その支配下のボットネットを作成、展開、管理しているかを説明しています。こうした悪意ある攻撃を特定し、被害を軽減するための実証済みのテクニックを、ここから学べることでしょう。テンプレート、チェックリスト、実践例が用意されていて、ネットワークの保護をすぐに始められるようになっています。