【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]

【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]
この記事は約6分で読めます。

どうもタスです。

【書評】ウチのシステムはなぜ使えない[システムに関わる全ての人に必読の書]で度肝を抜かれた岡嶋氏の作品第2弾。本書は、前作とITという分野では同じだけれど、前作はシステム開発で、本作はセキュリティという別職種に焦点を当てています。とは言え、両者はおもいっきり関わりのある領域なので、本書を読んだら前作を。前作を読んだら本書を読めー!と言いたいです(笑)

そこで今回は、読書習慣を始めて74冊目の本として「暗証番号はなぜ4桁なのか? セキュリティを本質から理解する(光文社新書)」を読了したのでお伝えします。

 

著者のご紹介

岡嶋 裕史(おかじま ゆうし)
1972年東京生まれ。中央大学大学院総合政策研究科博士後期課程修了。博士(総合政策)。富士総合研究所勤務を経て、現在、関東学院大学経済学部経営学科情報部門・関東学院大学大学院経済学研究科准教授。Webサービスイニシアティブ技術部会副部会長。

 

目次

まえがき
第1章 暗証番号はなぜ4桁なのか? –見え隠れする管理者の傲慢
第2章 パスワードにはなぜ有効期限があるのか? –破られることを前提とした防護システム
第3章 コンピュータはなぜ計算を間違えるのか? –計算のしくみとそれに付け込む人間の知恵
第4章 暗証番号はなぜ嫌われるのか? –利便性との二律背反
第5章 国民背番号制は神か悪魔か救世主か –管理と安全の二律背反
第6章 暗証番号にはなぜ法律が無いのか? –ITに馴染まない護送船団方式
第7章 インシデントはなぜ起こり続けるのか? –覚えておきたい3つの対策

 

暗証番号制度はショボすぎる

【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]

本書は書名がずばりそのもので、「暗証番号はなぜ4桁なのか?」ということをセキュリティの観点から深掘りしています。そもそもなぜ4桁なのか?なぜ数字なのか?数字4桁なんてせいぜい1万通りだから脆弱だよな…とか、なぜ未だにそれが通ってるのだろうか?とか。あまり考えたことが無かった。

実はこれが最も怖いところで、「元からこうだから」とか、「皆使っているから」とか、そういう思考に陥ることがとても怖いことだと意識していながらも実際にそうなっていたという。無意識で物事を判断(無意識だから判断すらしていないのだろうけれど)しているのは本当に怖いところ。

暗証番号制度はショボすぎるってことと、それは提供者側の事情しか考慮していないこと、今更変えるのは大掛かりなことや、当時の事情を加味するとコスパ的な部分で仕様が無いところもあること。なんとなく思っていた結論ではあるものの、岡嶋さん考察が正解であれば、何と残念なことか。もう少しマシな考えはなかったのかと…。

 

暗証番号?いや、セキュリティ本だよ

【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]

実は、本書は「暗証番号」の物語かと思いきや、完全なる「セキュリティ」の話なのです。しかも、難しい言葉は一切使わないので素人にも分かり易く教えてくれます。そして、そんな素人に最も読んでほしい一冊なのです。実際にセキュリティを検討する人たちにも原点回帰という意味で読むことはおススメするけれど、セキュリティに無知な方たちに、セキュリティって難しいんだよってことを概念的に知ってもらうのに十分な内容だと思うからです。

今日においては、公私ともにセキュリティを意識しない生活は有り得ないと言っても過言ではありません。スマホは常時インターネットに接続しているし、会社なんて社内外関わらずに脅威にさらされていると言っても良いでしょう。そう言った現状から、誰しもがセキュリティを学ぶ必要があるのです。

 

セキュリティはトレードオフ(本書では二律背反)

【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]

本書の中で参考になる部分は沢山ありましたが、特に「セキュリティはトレードオフ」であることは、誰しもが知らなければならないことです。セキュリティを強化すれば利便性が低下するし、利便性を優先すればセキュリティは弱化します。これは想像に難くないでしょうけれど、意外と忘れがちなことでもあります。

そんなんだから守れもしないセキュリティポリシーを作るんだと愚痴っても仕方ないのです。形骸化まっしぐらですね。そのセキュリティポリシーも本書は以下の方法で作成することと説いています。

  1. 経営陣が作る(罰則規定を盛り込む)。
  2. 見直しの時期を盛り込む。
  3. 監査する。

特に、1.が最重要。本書ではワンマンな社長が強引なまでのセキュリティポリシーを作って社員を奈落の底に陥れていましたが、それとは逆に、経営陣がセキュリティに無頓着であまり関心が無いというのも大問題。いくらセキュリティチームがポリシーを作成したところで、旗振り役がいなければ遵守性が低いまま運用される恐れがあるからです。

 

現代でも色褪せないセキュリティの本質

【書評】暗証番号はなぜ4桁なのか?[基本中の基本的なセキュリティの本質]

本書が出版されたのは2005年のため、若干古さは否めない。しかし、とても基本中の基本的な本質のレベルで語っているので、今の時代にも通用する内容になっている。例えば、何でもかんでも電子化(どちらかというとシステム化)すればよいと思っているオジサンが未だにいるのには閉口する。手段が目的になっているのだから、そもそも目的を達成できるとは思えない。そんなところから説明しなければならない時間の浪費を考えると、キャリアも慮られる思いなのです。。

また、「KISS principle」という軍隊でのスローガンは初めて知りましたが、思考は何でもシンプルにという想いは私も大賛成なので、いつでも誰にも惑わされずにその気持ちを持っていたいですね。ちなみに、KISSは、「Keep It Simple, Stupid」だそうで、単純にやれっていっただろ、この野郎!くらいのニュアンスだそうです。

とはいえ、思想だけでは理解するのが難しいから、具体的な事例にまで落とし込んで説明してくれるところに本書の魅力があります。そういったとても大事なことを本書は教えてくれます。地位役職、年齢、性別にかかわらず、誰もが学んでおくべき本書は、読んでいて楽しくなる岡嶋さんが著しています。笑いとユーモアあふれる岡嶋節を体感あれ。

スポンサーリンク


Pocket


SNSでもご購読できます。

コメントを残す

*

CAPTCHA