2014年はインターネットセキュリティ激動の一年だった。 インターネットの根本を揺るがす脆弱性が発見され、世界は大混乱に陥った。
インターネットセキュリティ事件というと、近年では、 多くは個々のアプリケーションの脆弱性や個人情報流出事件などが騒がれてきたが、 今年発生した事件はそんな生易しいものではなかった。
今年はOpenSSLの脆弱性発覚という大事件から一年が始まった。 常に多数の監視があるはずのオープンソースソフトウェアで、 数年間にもわたって致命的なバグが気づかれずに放置されていた。 その脆弱性はHeartBleedと名付けられ、キャッチーな名前により一気に世界に広まった。 OpenSSLはその後も続々とバグが発見され、プロジェクトの管理体制が問われた。
同じように長年放置されたバグがbashにも見つかった。 こちらはPOODLEと名付けられ、HeartBleedより更に深刻な脆弱性となった。
まるで長年溜まった膿を絞り出し続けたような一年だったと言える。 どちらも一応の収束を見せたが、 セキュリティの基幹部分にダメージを抱えた状態でのインターネットを通じた修正パッチの配布というのは、 たまたまうまく行っただけで安全に修正できたとは断言できないのではないか。
また、一般ユーザ向けにも大規模な攻撃や漏洩事件がいくつもあった。 2000万件という類を見ない数の個人情報が漏れる事件もあった。
本書は、そんな2014年のセキュリティ事件を振り返り、 その時エンジニアたちが何を考え、どう行動したかをまとめる。 エンジニアの思考と行動を記録しておくことは、 今後起こりうる同様の事件の際に、どのように振る舞えばよいかの良い参考となる。
今まで安全だったものが一瞬で安全が保証されなくなる世界である。 通信の原理を知り、セキュリティの原理を知り、問題が起きた際にどの部分が安全でなくなるか、 自分の頭で考えて行動しなければならない。 「誰かに教えられた方法」を鵜呑みにしては、その教えられた通信チャネルが安全でない場合、 誰かに改竄され間違った方法を伝えられるかもしれない。 自分の頭で考えることが何より重要なのである。 本書が少しでもその参考になれば嬉しい。
ちなみに、もうひとつ重要なことは、 インターネットに頼らず空気の振動を利用して情報通信する相手を確保しておくことである。 つまり対面で話ができるセキュリティに詳しい仲間だ。 この技術は非常に重要であるが、筆者はその能力を獲得していないので本書では紹介できない。