情報セキュリティの敗北史: 脆弱性はどこから来たのか: 晴川雨読

2026年01月28日

情報セキュリティの敗北史: 脆弱性はどこから来たのか

「情報セキュリティの敗北史: 脆弱性はどこから来たのか」（アンドリュー・スチュワート）を読みました。

情報セキュリティが勝利する答えは現時点ではないので（未来永劫ないかもしれない）、勝つための指針などが示されているわけではなく、過去を記している。

気になった点を箇条書きします。

・昔のコンピュータはマルチユーザ・マルチタスクではなかったので、一人のオペレータが指示をしていない場合にはコンピュータは計算をしていない。
　この状態のことを「ダウンタイム」と書いている。だが、ダウン（停止）しているわけではなく、単なる指示待ちの状態なので「アイドルタイム」とするのが妥当でしょう。

・次のように「プロトコルを完了する」とあるが、TCP接続の確立を完了するのであって、プロトコルの完了ではない。

SYNフラッディング(SYNフラッド攻撃)と呼ばれる、TCPプロトコルに対する攻撃方法について解説している。
TCPプロトコルでは、コンピュータが他のコンピュータに接続しようとすると、「接続していいですか?」と尋ねるパケットを送信する。
相手のコンピュータに接続を受け入れる意思と能力があれば、「ええ、接続していいですよ」という応答パケットが返ってくる。
その後、最初のコンピュータが「オーケー、接続しました」というパケットを送信してプロトコルを完了する。

・IDSについて書かれていた。昔から役に立つのか疑問だった。
　2014年に衣料品小売業者のニューマン・マーカスの事例では、侵入する際に6万件のアラートを出したが、これは日々出ている1%でしかなかった。
　10年経って少しは改善されているのかもしれないが、思った通り大した役には立っていないようだ。

・Visual Studio.NETには、C++のコンパイラも含まれるが、コンパイラ製品とは呼ばない。インテルのコンパイラならばそう呼ぶが、Visual Studio.NETは統合開発環境だ。
スタックの説明もキューの説明であり、ここで言うスタックはローカル変数などを保持するメモリ空間のことだ。

ソフトウェアコードに生じる脆弱性の数を減らすために、マイクロソフトはいくつかのイノベーションを導入した。同社の「Visual Studio.NET」というコンパイラ製品には、スタック保護メカニズムが組み込まれた(スタックとは「積み重ねる」の意味で、ITの分野では、物を積み重ねたり、一番上に載っている物を取り外したりするように、最後に置いた(入れた)データが最初に取り出されるようなデータ構造を指す)。

・いろいろなセキュリティ機構ができると、セキュリティ軽視になり結果として安全性は変わらないという文脈で以下が示されている。

ファイアウォールやペリメータセキュリティ・モデルは、個々のコンピュータにおけるセキュリティの軽視につながると批判された。鉱山で使用されていたデービー灯は、メタンに点火することなく明かりを灯せたため、鉱山労働者の命を救ったと言われている。しかし、このランプのおかげで鉱山はより深くまで掘り下げられるようになり、結果的に死者数は増えた。

だが、それはおかしい。防御機構ができたことによって新たな防御が必要な事象が発生して、結果として安全性が変わらないだけで、では防御機構を捨てても変わらないのか？
防御手段が高度化したので攻撃手法も高度化する。防御手段を捨てた瞬間、過去よりも危険性が格段に上がるはずだ。

・NSAなどの政府組織は、「ゼロデイサービス」というサブスクリプション型サービスの契約をしていて脆弱性情報を購入している

それなりの間違いがあるのだが、専門家からの指摘は無いのだろうか？
日本語訳でおかしくなっている可能性もある。