トップ > セキュリティ > セキュリティエンジニアにおすすめの本 1選

セキュリティエンジニアにおすすめの本 1選

セキュリティ 読書
記事タイトルとURLをコピーする

セキュリティサービス部 佐竹です。
あけましておめでとうございます。「セキュリティエンジニアにおすすめの本」として、1冊の本をご紹介します。2026年のセキュリティは、この本から始めてみてはいかがでしょうか。

はじめに

セキュリティを学ぶためのおすすめの本 1選は、2022年10月12日刊行の「情報セキュリティの敗北史: 脆弱性はどこから来たのか」です。原著「A Vulnerable System: The History of Information Security in the Computer Age」は2021年に刊行されたもので、その邦訳です。

情報セキュリティの敗北史 (白揚社)

私は物理本(紙の書籍)を本屋で買いましたが、もちろんアマゾンでも購入いただけます。

400ページ以上もある分厚い本で、見たことのない量の「引用」が巻末についています。勉強目的にしっかり読みたいという方は、この本は電子書籍よりも紙のほうがおすすめだと思います。

著者について

Andrew J. Stewart 氏については「https://andrewinfosec.com/」 に簡単なバイオグラフィーが記載されています。

彼は、世界規模の投資銀行の役員(Officer)でありながら、King's College London の安全保障研究(School of Security Studies)における博士課程の学生でもあります。本書を読むと文体やその特性にすぐ気付かれると思うのですが、なかなかに「論文」寄りの文章になっています。

いわば、学生が参考文献として読むような本でもあります。そのように紹介されると、取っつきにくい感じを受けるかもしれませんが、論文のようでありながらも歴史書としてはかなり読みやすい部類の本だと感じます。

というのも、彼は研究だけをしてきたわけではなく、実際に役員という立場でもあるわけですから、「ビジネス」としての視点でも物事が語られます。

どのような人にお勧めか

セキュリティエンジニアという立場で現場でお客様とトーク(会話)をされる方、その中でもセキュリティの背景にある「ストーリー/ナラティブ」を補完したい方向けです。

本書にも出てきますが、現代はセキュリティの対処を以下のような流れで行うことが多いでしょう。

  • 発見(Discovery): 新しい機能が実装され、その結果として「新たな脆弱性」が生まれる
  • 攻撃(Exploit): ハッカーがその脆弱性を突き、攻撃を行う
  • パッチ(Patch): ベンダーが緊急パッチをリリースする

この時、発生している事象(インシデント)はほぼ「点」です。我々は説明を行う時には「点」と「点」をつないで「線」として説明をします。そうすることで説得力が増し、またその対処をお客様が間違われないための導きとしても役立つからです。

しかし、「目の前の事象だけにフォーカスし、点と点をつないだ短い1本の線」は、引きで見る「大きな潮流」の前において、それもまたほぼ「点」です。

つまり、話している私本人も、いわゆる歴史レベルの大きな潮流の前では「説得力のある説明」はできませんでした。私は AWS を2010年1月から業務利用をしている*1、という体験者ながらの会話でこれまでを凌いで来ましたが、やはり「何か心もとない」という気持ちがずっとありました。

私は農学部修士課程修了であり、いわゆる「情報セキュリティ」に関する体系だった教育を受けているわけでもありません。そこに少々引け目をずっと感じていたのもあります。

この本は、そんな私のような「セキュリティの歴史を理解したい」というエンジニアに特におすすめです。また本書は「情報セキュリティの教育カリキュラムにおける教科書」としての有用性が指摘されているように、その歴史を学ぶためにも最適です。

どのようなことを学べるのか

物語は、デジタルコンピュータの誕生からです。

最初期のセキュリティは物理との闘い

初期のコンピュータにおいては、セキュリティとは物理的なものでした。「巨大な真空管の塊」であった計算機は、持ち出すこともできません。そのため、不正に利用されないようにするためには、その部屋の入口に鍵をかけ、警備員を配置することで十分に守られていたわけです。

そして当時の「脆弱性」の相手は、ケーブルの絶縁体*2をかじる「ネズミ」です。これは、セキュリティが物理的な干渉(自然界の脅威を含む)との戦いであった時代を象徴しています。プログラムの「バグ(Bug)」という言葉も、もともとは機械の不具合を指す言葉でしたが、実際に計算機に入り込んだ「蛾」が原因で誤動作が起きた有名な記録が残っているように、相手は人間ではなかった時代がありました。

タイムシェアリングの導入というパラダイムシフト

ですが「タイムシェアリング」というシステムが現代のセキュリティという概念そのものを生み出しました。

戦争中、そして戦争後、米軍は戦争の攻撃と防御のために、数多くの計算(例えば弾道ミサイルの着弾地点)を巨大なコンピュータで行っていました。ですが、この計算機は常にフル稼働しているわけではありません。高額なこのコンピュータを寝かせておくには惜しい、というわけです。

よって、この「高価なコンピュータ」の稼働効率を最大化するため、CPU の空き時間を極力減らし、複数のユーザーがあたかも同時に「一台のマシンを利用」できる、「タイムシェアリング」という仕組みが考案されました。この開発には国防総省の ARPA が多額の資金を提供しています。軍は、貴重な計算資源を研究者たちが奪い合う待ち時間を解消し、より効率的かつリアルタイムにコンピュータを活用できる環境を求めました。

ですが、この転換により、セキュリティは「物理的な壁」から「プログラムコード」へと移行することになります。異なる権限を持つユーザーが同じコンピュータ上に同居するという構造が生まれたわけです。

これまでコンピュータを使う人は(物理的に隔離されていたことからも)限られており、且つそれは同組織内でした。ですが「組織外の人」を招き入れるためには「組織内」と「組織外」を区別しなければなりません。このためのソフトウェアによるアクセス制御が、「メモリ空間の侵害」や「権限昇格」などを生み出してしまったというのが、セキュリティのスタートということでした。

私はこの「セキュリティという概念が生まれた背景」の箇所が非常に面白いなと感じたことを、今でも鮮明に思い出せます。ここまで読んだだけで、この本は素晴らしいと感じました。

差し込まれる逸話が秀逸

著者は現在のセキュリティ業界に対して批判的な立場を取っています。

著者は本書の中で、脆弱性の公開やバグ報奨金制度(Bug Bounty Programs)に対して懐疑的、あるいは批判的な立場をとっています。彼はこれらを、攻撃者に情報を与え、セキュリティを商品化する市場の一部とみなしている節があり、ここは賛否があります。

本書には、この状況を簡単に説明する逸話があります。これは私のお気に入りの逸話でもあります。

以下のような話です。

  • ある村には毒蛇に噛まれて亡くなる人が後を絶たなかった
  • 村は、毒蛇に懸賞金をかけた。すると毒蛇は一時的に減った
  • しかし懸賞金に目を付けた人が「毒蛇を飼って増やす」ことで、定期的に村に提出するようになった
  • 村は懸賞金を取りやめた
  • 毒蛇を飼っていた組織は、儲からなくなった毒蛇を捨てた
  • 結果、村に毒蛇の数が増えてしまった

このような風刺のきいた逸話がところどころあるのですが、これがまた面白い本でもあります。なお、この逸話は「コブラ効果」と言われており、Wikipedia の Perverse incentive のページにも記載があります。

まとめ

2026年を迎えた今、生成 AI の流れもあり技術はますます高度化していますが*3、セキュリティの根底にある課題は、歴史を振り返ることで「線」として捉えられるようになります。

「点」としての対処に追われる日々の中で、ふと立ち止まり、過去から現在へと続く「線」を改めて認識することは、これからのセキュリティを考える上でも大きな武器になるはずです。

本書は、決して派手なビジネス書でも技術書でもありませんが、セキュリティエンジニアとしての視座を一段と高くしてくれるような骨太の良書です。今年の読書初めに、ぜひ手に取ってみてください。

本年もどうぞよろしくお願いいたします。

*1:2009年の秋頃から検証を開始していました

*2:現代のような合成樹脂製ではないケーブル

*3:生成 AI の出現以後、攻撃側でも生成 AI を駆使しているため、その攻撃はより高度化しています

佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ

セキュリティサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。