皆さんイカがお過ごしでしょうか?のぶです。
先日から読んでた「ゼロトラスト Googleが選んだ最強のセキュリティー」を読み終えました。
それの感想になります。
ずばり読むべき対象は、全社会人になりますね。セキュリティ担当者は除く。
セキュリティ担当者はこの内容についてはもう知っていて当然でしょう。
しかし、セキュリティ担当じゃない人はゼロトラスト入門書というべきこの本を読んでおくべきです。なぜならゼロトラストは次世代セキュリティと言われて、サラリーマンやフリーランス含め社会全体に影響があるからです。
ではなぜそう思ったのか、本の説明にうつります。
次世代セキュリティの基本概念であるゼロトラスト
本の紹介
タイトル | ゼロトラスト Googleが選んだ最強のセキュリティー |
著者 | 勝村 幸博 |
出版社 | 日経BP |
本の長さ | 198ページ |
発売日 | 2021/6/18 |
価格 | 1980円 |
本書では「何も信頼しない」ですべてを守る次世代セキュリティー「ゼロトラスト」の基本的な考え方や登場の背景を解説した上で、「ゼロトラスト」を構築するために必要な技術やクラウドサービス、最近のサイバー攻撃の手口なども紹介します。多岐に渡る視点で詳細に解説し、「ゼロトラスト」を理解できる1冊です。
次世代セキュリティと書かれているが、読んだ自分の感想としてはコロナ禍、リモート時代のまさに現在進行系のセキュリティと言うべきものだと思う。
なぜ今話題になった?ゼロトラスト
登場背景でも書かれているが、今までのセキュリティは会社内の作業は無条件で信頼し、会社の外からの通信は厳しくチェックしてファイアーウォールで遮断するのが普通だった。
しかし、このコロナ禍で会社はリモートを半ば強制的に導入せざるをえなくなった。
政府や都知事がリモート導入を求め、出社率の数字まで提示してたニュースは皆さんもごらんなられただろう。
ゼロトラストとは何か?
ゼロトラストとは概念である。または、リモート時代の新しいセキュリティの考え方である。
正確に言うと「Zero trust security model」というモデルになる。
リモート時代だれもが場所を選ばずに仕事をしようとすると、今までのセキュリティでは対応できないので、「ゼロトラスト(すべて使用せず検証する)」セキュリティの考え方が出てきたのである。
そんな中この本を読んでると、
・ゼロトラストの形は一つではない
・用いられる技術や製品は従来からあったものであり、ゼロトラストはその組み合わせである
・脱VPNがゼロトラストになるわけではない
・PPAPはほぼ意味がない
・二段階認証の限界
・スマホにアプリを入れる意味(BYOD)
などがわかるようになる。
自分はネット銀行を使うとメールやSMSの二段階認証が使われる意味がわかり、これは確かに重要な作業だなと、面倒に思わず自分のために実施しようと考えるようになった。
今後二段階認証の上にあたる多要素認証(MFA)が常識になる。特にこのMFA認証がゼロトラストの要であり、どこでも使われることになるだろう。 その時に自分が理解しているかどうかで、使い方が大きく変わる。
パスワードの意味がわかってない人がパソコンにパスワードの付箋をつけるようなことになる。
パスワードの意味が分かっていたら、絶対にこのようなことはしない。
意味を理解するためにもセキュリティ知識は必要になる。
現在も行われているサイバー攻撃
ロシアや北朝鮮、中国が常にサイバー攻撃を行っているのはよく知られている。北朝鮮はビットコンなどの外貨稼ぎに、ロシアは戦争を始めアメリカの大統領選でもフェイクニュースでよく名前が出た
中国も産業スパイで名前はよく出る。
この本は第六章でフィッシング詐欺やマルウェアなどの紹介がある。
特にEmotetとPPAPは読んで理解をしておきたいポイントである
Emotetは今日もニュースで流れていた。
一般財団法人日本気象協会は3月2日、同協会の職員を装った不審なメールの報告があったとして、情報を公開し注意を呼び掛けた。職員が利用するPCの一部がマルウェア「Emotet」に感染し、当該PCからメールアドレスが詐取された可能性があり、その影響だと考えられるという。当該PCはすでにLANから切り離され、Emotetは駆除済みとしている。
そのためには一人ひとりが知識を身に着け、そして意識向上させるしかない。
ゼロトラスト本の注意点
・コンパクトに纏められており解りやすい入門書ではあるが、具体的な事例があるわけじゃないので、深く知るなら別途専門書が必要
・Googleがタイトルで出てきているがGoogleは全体の3ページぐらいで、Googleかどのようにゼロトラストを実現したかの具体的な話は出てこない。 でも、Googleがゼロトラストを広めた会社でもあるので、紹介はされている。
まとめ
・略語と名称を併記されてる
・シンプルな図での説明が豊富
・章末に要点がまとめられている
この三点は本が読みやすいことにつながってる点だと思う。
セキュリティは言葉だけは多くの人が知ってるが、具体的な話になるとパスワード以外思いつかない人が多いのではなかろうか?
リモートが主流になっている時代、基本のマナーとして一読をお勧めする。
コメント