本 日 の h o g e

■ [本] セキュリティの神話

学生時代の後輩が監訳を担当した本ということで，献本頂きました．

どういう本かということを一言で言えば，「情報セキュリティ業界の偉い人が情報セキュリティと，それと関わりの深い事柄についてぶっちゃけまくっている」という感じだろうか． 「あれはダメこれもダメ全然ダメのダメダメ」と持論を展開しまくっていて面白いし，それだけでなく「なぜダメなのか」「だったらどうすれば良いのか」というところまできちんと言及してある．

原著者が McAfee の人ということもあり，アンチウイルスの話が多いのだけれど，話はそれに止まらず，例えば VPN であるとか，MITM がどうとか，ファイウォールであるとか，IDS/IPS であるとか，最近大流行のクラウドであるとか，幅広いネタを扱っている．あまり込み入った話は多くなく，章毎の文章量も多くないので，エッセイ集のような感覚で読めると思う．

個人的には，セキュリティって，そんな言葉すらも一般の人は知らなくて良いくらいにすることが理想だと思う． とはいえ理想は理想，現実としてそうなっていない以上，ある程度の対策はエンドユーザにも求められる． 最終的に自分を守れるのは自分だけだから．

そういった意味で，情報技術に疎い人にとってはちょっと難しいかも知れないけれど，一般の人に読んで欲しいと思う．

けど，同時に，専門家こそこういう本を読むべきだとも思う． 別に IT 業界やセキュリティ業界に限った話ではないのだろうけれど，一般の人と専門家の間には深い溝があって，一般の人は専門家の言ってることは意味がワカラン，俺が知りたいのはそんなことじゃない，とか思っているし，専門家は一般の人を分からず屋だとかバカだとか思ってる節がある． 12 章「欲しいのはアンチウイルス」で指摘されている点が分かりやすいので引用すると，

だが、技術的な話は、本来、一般のユーザにはどうでもいいことである。実際、技術的な用語を並べられても「何だ、そりゃ?」という気分になるユーザは多いはずだ。そして、それは至極もっともなことなのだ。

一般のユーザにとって重要なのは、何やら難しげなセキュリティ技術ではなく、自分が抱えるセキュリティ上の「問題そのもの」である

ユーザが買うのは技術ではなく、結局、製品なのだから、製品を中心に物事を考える必要がある。セキュリティの専門家はどうしても、技術的に新しいものを良いと思い、古い技術をダメだと考えがちだ。しかし、消費者はそのようには考えない。技術的に優れているのか否か、ということは彼らには分からないのだ。

ごもっともすぎて涙がちょちょ切れる． 別にお客様は神様ですとか言うつもりはないんだけれど，相互理解は間違いなく足りてないよね．