序文

過去10年間で、テクノロジーの導入は世界中で爆発的に増加し、企業は遅れを取らないように奮闘してきた。ユーザビリティと収益創出が重要な原動力となり、長期的な安定に必要なプロアクティブな設計やセキュリティはしばしば無視されてきた。ニュース速報のハッキング、記録的なデータ流出、ランサムウェア攻撃の増加に伴い、デフォルトのインストールでしのぐだけでなく、データや資産を可能な限り保護することが私たちの仕事となっている。どこから手をつけていいのかわからないほど多くの火種を抱えた、喩えるなら列車事故のような環境に足を踏み入れることになるケースは常にあるだろう。本書は、あなたが遭遇する可能性のある大半の状況に対して、堅実で安全な設計を作成するために必要なものを与えてくれる。

現代の攻撃は、さまざまな動機で発生する可能性があり、侵害を収益化しようとする組織犯罪グループから、不道徳または公共の利益に反すると判断した組織に報復しようとするハクティビストまで、さまざまな人々によって実行されている。動機が何であれ、また攻撃者が誰であれ、多くの攻撃は熟練した個人によって組織化され、実行されており、多くの場合、資金を得ている。

このような状況の変化により、多くの組織が情報セキュリティのキャッチアップゲームに取り組むようになり、多くの場合、自社の情報セキュリティプログラムが必要な経営陣の支持を得ていないか、そもそも存在していなかったことに気付くようになった。このような組織は、これを是正し、情報セキュリティへの取り組みを初期化または成熟化させるパスに着手しようとしている。しかし、問題がある。

情報セキュリティ業界は、現在、失業率がマイナスになっている業界である。人を雇うのは難しく、優秀な人材を雇うのはさらに難しい。しかし、情報セキュリティのポジションで人を雇おうとする雇用主にとっては、高額な資産を持つ可能性のある新入社員に一定の信頼を与えることになるため、リスクが高い。

このため、情報セキュリティ対策に着手して間もない企業の多くは、システム管理者やアーキテクトなど別の職務に就いていた人を情報セキュリティ実務者に昇格させるという方法をとっている。また、通常よりも若手の情報セキュリティ専門家をその職務に採用し、新しく任命された従業員が実地で学ぶことを期待するのも、よくあるやり方である。このような状況こそ、まさに本書が対処しようとするものである。

情報セキュリティ・プログラムが未熟な企業が遭遇する問題の多くは、基本的なセキュリティ衛生管理によって改善できるか、少なくとも大幅に減らすことができる。未熟なセキュリティ部門を新たに継承することになった場合、問題を解決できるのではないかと期待して、できるだけ多くの点滅するLEDを搭載したデバイスを購入することになりかねない。また、別の会社にお金を払ってアウトソーシング契約を結び、それを活用して支援しようと考える人もいる。これらの選択肢は、どちらもお金がかかる。情報セキュリティに取り組み始めたばかりの組織の多くは、こうした問題解決策を講じる予算を持っていない。

我々の目標

私たちのゴールは、この標準をほとんどの企業ネットワークに適用できるものにするだけでなく、その過程でちょっと楽しく読めるものにすることだ。様々な政府組織や民間組織から、あるセキュリティ対策や次のセキュリティ対策の有効性について延々と語り続けるような、深く掘り下げた標準がすでに出ている。私たちは、業界の実体験に裏打ちされた有益な対話にしたいと考えている。優れたポリシー、ベスト・プラクティス、コード・スニペット、スクリーンショット、ウォークスルー、そして辛辣な言葉すべてが混ざり合うだろう。私たちは、助けを雇う承認を得られないネット管理者、私たちが日々目にしている戦いと戦っているのは自分たちだけではないことを知りたいディレクター、そして、ホワイトペーパーやRFCを読み始める準備ができていない、現場で手を汚している人々など、大衆に手を差し伸べたいのだ。 ...