アーカイブ

‘書籍’ カテゴリーのアーカイブ

【書籍】神は妄想である―宗教との決別

2007 年 8 月 24 日 コメント 7 件

「神は存在しない」を科学的に論証する野心作

この書籍は海外特に米国などで話題となったが、日本ではそれほど話題になっていないようだ。宗教というテーマは日本人にはあまりなじみがなく、一般には書店であまり手にとる気にならないのかもしれないし、この書籍で主張している「超自然的な意味での神は存在しない」は、無神論者が多い日本では、あまりに当たり前すぎるのかもしれない。

ブログの感想や書評などを読んでも割と辛口の評価が多いのだが、私はこの書籍を最新の科学理論を神の存在と絡めて紹介する科学的エンターテイメントとして楽しく読めた。宗教論、思想書あるいは科学書としてこの書籍をとらえれば突っ込みどころは多いのかもしれないが、この書籍の本質はそういうところとは違う。「本当に神は存在するのか」という小学生でも一度は考えたことがありそうな素朴な疑問(少なくとも日本人は)について、大の大人が、それも大学教員のポジションも持つ著者が、必死に論証をしようとし、それをまさに命がけで世界に発信しようとしているのだから、これが面白くないわけがない。この命がけという感覚が日本では実感をもって伝わりにくいかもしれないが、例えば、この本を日本で人前で読んでも、ふーん、小難しい話が好きな人だねと思われる程度だが、米国で人前でこの本を読むには身の危険の覚悟が必要である。気分はまさに「王様の耳はロバの耳!」なのである。

著者は誰にでもわかりやすく「つまり神は○○なのである」という断定的な書き方はしていないため、多くの読者が消化不良の印象を持つようである。実際かなり勢いに任せて書いた感があり、著者がこれまで「利己的な遺伝子」などの著作で主張するダーウィン主義の考え方をちりばめながらも、途中からはキリスト教に対する恨みつらみや聖書の矛盾点へのツッコミがグダグダと書かれている。

基本的には、これまでの著作と同様にダーウィン・マンセーな内容であり、いつもの調子で「人間による神の信仰」という事象を得意の進化論で「スパッ」と斬ってくれるのかなと期待するわけだが、この「スパッ」の切れ味がこれまでの著作ほど切れてなくてグダグダしているのが、辛口の評価につながったようだ。

 以下ネタばれ注意

続きを読む…

カテゴリー: 書籍 タグ:

【書籍】洋書新刊情報(7/19)

2007 年 7 月 19 日 コメントはありません

セキュリティ関連の洋書新刊いろいろ、忘れないようにまとめておく。

stat_anal.jpgSecure Programming with Static Analysis
Brian Chess (著), Jacob West (著)
Addison-Wesley Pub (Sd); 1 Pap/Cdr版 (2007/6/14)
¥ 7,099 (税込)

fuzzing.jpgFuzzing: Brute Force Vulnerability Discovery
Michael Sutton (著), Adam Greene (著), Pedram Amini (著)
Addison-Wesley (C); 1版 (2007/6/22)
¥ 7,098 (税込)

googlehack2.jpgGoogle Hacking for Penetration Testers Volume 2
Johnny Long (著)
Syngress Media Inc (2007/7/9)
¥ 6,448 (税込)

exp_online.jpgExploiting Online Games: How to Break Multi-user Computer Games
Greg Hoglund (著), Gary McGraw (著)
Addison-Wesley (C); 1版 (2007/7/13)
¥ 8,308 (税込)

virtual_honey.jpgVirtual Honeypots
Niels Provos (著), Thorsten Holz (著)
Addison-Wesley (C); 1版 (2007/7/20)
¥ 9,346 (税込)

◆以下発売予定
open_fuzz.jpgOpen Source Fuzzing Tools
Noam Rathaus (著), Gadi Evron (著)
Syngress Media Inc (2007/08)
¥ 8,400 (税込)

noimage.jpgReverse Engineering Code With Ida Pro
Joshua J. Pennell (著)
Syngress Media Inc (2007/10/30)
¥ 7,093 (税込)

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】The Art of Software Security Assessment

2007 年 7 月 12 日 コメントはありません

とにかくデカイ。書籍全体で1200ページにもなり、その大部分が脆弱性の解説に費やされている。脆弱性辞典といったところか。前回紹介したThe Art of Software Security Testing のような開発現場でのセキュリティテストプロセスに関する内容を期待したが、どちらかというと脆弱性のしくみや原因、対策などについて幅広く記載することに主眼がおかれている。

ソフトウェアの脆弱性を解説した同様の書籍はこれまでもいろいろと出版されており目新しさははないが、そのボリュームと網羅性については他を圧倒する。特にネットワークプロトコルや分散処理に関する脆弱性について詳しく触れられている点が特徴である。個々の脆弱性についてはサンプルコードとともにその基本的な動作メカニズムが説明されているが、実際のソフトウェア上での動作やその具体的な解析方法、使用ツールなどの説明はない。また、Webアプリケーションの脆弱性の記述は少なくそれらが必要な場合はWebアプリケーションを専門に扱っている他の書籍をあたった方が良いだろう。

とにかくソフトウェア開発に際しいろいろな脆弱性についての知識を得ておきたいといった場合や、特定のソフトウェアに関連しそうな脆弱性を洗い出したいといった場合に役立ちそうだ。

目次(抜粋)
I Introduction to Software Security Assessment
1 SOFTWARE VULNERABILITY FUNDAMENTALS 3
2 DESIGN REVIEW 25
3 OPERATIONAL REVIEW 67
4 APPLICATION REVIEW PROCESS 91
II Software Vulnerabilities
5 MEMORY CORRUPTION 167
6 C LANGUAGE ISSUES 203
7 PROGRAM BUILDING BLOCKS 297
8 STRINGS ANDMETACHARACTERS 387
9 UNIX I: PRIVILEGES AND FILES 459
10 UNIX II: PROCESSES 559
11 WINDOWS I: OBJECTS AND THE FILE SYSTEM 625
12 WINDOWS II: INTERPROCESS COMMUNICATION 685
13 SYNCHRONIZATION AND STATE 755
III Software Vulnerabilities in Practice
14 NETWORK PROTOCOLS 829
15 FIREWALLS 891
16 NETWORK APPLICATION PROTOCOLS 921
17 WEB APPLICATIONS 1007
18 WEB TECHNOLOGIES 1083

■書籍
The Art of Software Security Assessment: Identifying And Preventing Software Vulnerabilities
Mark Dowd (著), John McDonald (著), Justin Schuh (著)
Addison-Wesley Pub (Sd); 1版 (2006/11/17)
¥ 7,857 (税込)

softsecuassess.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】The Art of Software Security Testing

2007 年 7 月 11 日 コメントはありません

The Art of Software Security Testing: Identifying Software Security Flaws
ソフトウェアテストの技術: ソフトウェアのセキュリティ上の欠陥の発見

表題のとおり、安全なソフトウェア開発サイクルにおけるセキュリティテストの手法にフォーカスしている。日々様々なソフトウェアの脆弱性が発見されセキュリティ・インシデントが発生している昨今、情報セキュリティに関する根本的な対策として安全なシステム開発に関する需用が高まっている。

セキュリティテストはこのような安全なシステム開発における重要なステップであるが、その具体的な手順や手法について詳しく解説する書籍は少ない。本書では、セキュリティテストと一般的なソフトウェアテストの違いに始まり、基本的な脆弱性、脅威モデリング、ツールを使った各種テスト手法の紹介を行っている。

セキュリティテストの基礎をひとおりカバーしているものの、基礎の範囲を脱しておらず、すでに実務でセキュリティテストや脆弱性解析などを行っている読者には物足りなく感じるだろう。ただし、セキュリティテスト考え方や基本ステップ、主要ツールなどをひとおりカバーし比較的読みやすいので、これからセキュリティテストについて理解しソフトウェア開発の現場に導入しようとする場合の入門書としては適しているだろう。

同じSymantec press印でAddison Wesleyから出版されている「The Art of Computer Virus Research and Defense」の出来が良かっただけに、もう少し踏み込んだ記述が欲しかったところ。

ハイライト

4 Risk-Based Security Testing: Prioritizing Security Testing with Threat Modeling

10 Implementing a Custom Fuzz Utility

11 Local fault Injection

12 Determining Exploitability

The Art of Software Security Testing: Identifying Software Security Flaws
Chris Wysopal (著), Luke Nelson (著), Dino Dai Zovi (著), Elfriede Dustin (著)
Addison-Wesley Pub (Sd); 1版 (2006/11/27)
¥ 7,144 (税込)

securitytesting.jpg

The Art of Computer Virus Research and Defense
Peter Szor (著)
Addison-Wesley (C) (2005/02)
¥ 5,715 (税込)


virus_research.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】Extrusion Detection (侵出検知)

2007 年 7 月 10 日 コメントはありません

 最近何かと問題となっているターゲテッドアタックやボットネット、ルートキットそして内部からの犯行などの対策としては侵入検知システム(IDS)や侵入防御システム(IPS)などによるトラフィック監視が有効なのは言うまでもないだろう。これまで外部から内部へのアクセスを主な監視対象と考えられていたIDS/IPSは今や内部から外部へ向けたトラフィックについても重要な監視対象としている。

 本書はこのような侵入検知技術の古くて新しい活用方法について焦点を当てている。 著者のBejtlich氏は本書のほかにも「The Tao Of Network Security Monitoring: Beyond Intrusion Detection」というIDSやネットモニタリングのセキュリティのための活用に関する書籍を執筆しており本書はその続編というか発展編でもあるようだ。

 本書ではIDSを活用した様々なネットワークモニタリングと対策のテクニックが紹介されているとともに、Port/Link AggregatorやRegeneration TAPなどのネットワーク機器の活用、Commited Access RateやClass-Based Policingを使った帯域の制御による防御、uRPFを使った攻撃者のトレースバックなど他ではあまり述べられていないネットワークセキュリティの上級テクニックやインシデントハンドリングやフォレンジックに関する現場のノウハウなどについても触れており大変興味深い。この分野としては出版から少し時間が立ってはいるものの、本書を通じて得られる知識は様々な運用、研究の場面で役に立つことだろう。

■書籍
Extrusion Detection: Security Monitoring for Internal Intrusions
Richard Bejtlich (著)
¥ 6,466 (税込)
Addison-Wesley

extrusion.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書評】Hunting Security Bugs

2007 年 7 月 5 日 コメントはありません

ソフトウェアのセキュリティテストの観点から脆弱性の効率的な発見手法について記載された書籍である。

技術的な詳細に突っ込んでいるというよりは、実際にソフトウェアをテストする技術者が知っておくべき代表的な脆弱性やそれらに対するテスト手法についてシステマティックかつ網羅的に記載している。またXMLや.NETなどに関して発生している新たな問題やその検査手法についても言及している。

Microsoftの出版社から出ているだけに、対象がWindows上のソフトウェアに偏ってはいるが主要な脆弱性についての検査手法やその観点がツールの使用例とともに紹介されており、ソフトウェアの脆弱性監査に関する入門書として使えそうだ。ソフトウェア版Hacking Exposedといったところか。

Hunting Security Bugs
Tom Gallagher (著), Bryan Jeffries (著), Lawrence Landauer (著)
出版社: Microsoft Pr
¥ 5,412 (税込)

security_bug.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】高信頼性組織の条件―不測の事態を防ぐマネジメント

2007 年 7 月 2 日 コメントはありません

本書は「事件・事故を起こさない組織、不足の事態に強い組織の構築とそのマネジメント」について普遍的な考え方や関連する研究や事例について言及するが、特に情報セキュリティやITマネジメントにおける危機管理について強く意識された内容となっている。よく、情報セキュリティは「人や組織の問題」と言われることがよくあるが、そこから一歩踏み込み、実際にそれらをどう管理していくかという問題については踏み込んだ議論をされることが少ない。

本書は情報セキュリティやリスク管理に関する組織論について関連する分野における研究動向や文献について広く網羅した上で、今後の高信頼性組織の研究に必要な基本的な考え方を提示している。実務書とは異なりややアカデミックな記述となっているものの、実際の現場でも適用可能な重要な考え方が含まれており、実務者にとっても多くのヒントが得られるだろう。

目次
第1章 組織の信頼性をいかにして高めるか
第2章 高信頼性組織とは何か
第3章 高信頼性組織の原則
第4章 高信頼性組織のマネジメントのしくみ
第5章 高信頼性組織を支える組織文化
終章 高信頼性組織の実現に向けて

(高信頼性組織の条件―不測の事態を防ぐマネジメント, 中西 晶)

■書籍
高信頼性組織の条件―不測の事態を防ぐマネジメント
中西 晶 (著)
社会経済生産性本部
¥ 2,310 (税込)

hro_nakanishi.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

[書籍]セキュリティの数値化(Security Metrics: Replacing Fear, Uncertainty, and Doubt)

2007 年 6 月 28 日 コメント 1 件

タイトルのとおりセキュリティの数値化について書かれた本である。

組織における情報セキュリティとその管理活動における数値化の対象や手法について紹介している。数値化した後の具体的な分析手法等はほとんど触れられていない。投資対効果の数値化については著者はこれを否定する立場をとっている。

攻撃の発生回数と失敗と成功の回数を数えましょうなど、数えるべき対象をひたすら列挙しているようなところも多く、何か新しい発見があるというよりはこれまで漠然と言われていたことを数値化という切り口で整理しているにすぎない。

実務や研究にすごく役立つというわけではないが、セキュリティの数値化について触れている数少ない書籍なので紹介しておく。

■書籍
Security Metrics: Replacing Fear, Uncertainty, and Doubt
Andrew Jaquith (著)
Addison-Wesley
¥ 6,367 (税込)

sec_metrics.jpg

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】カードセキュリティのすべて―進化する“手口”と最新防御策

2007 年 2 月 24 日 コメントはありません

身の回りで接する機会が増えてきたICカード。本書は従来の磁気カードから最新の非接触ICカードまで、カードを使った認証や決済に関するさまざまな話題が盛り込まれている。前半は専門外の読者にもわかりやすく数々の興味深いトピックを取り入れ読みものとしても面白く仕上がっている。後半は一転、電力解析などICカードに対する攻撃や耐タンパー技術について技術的に踏み込んだ解説が行われている。ある程度の知識を持つ読者にとっては前半は少し冗長に感じるかもしれないが、後半はICカードに対する様々な攻撃手法が技術的視点から詳しく解析されており手ごたえを感じるに違いない。本書は専門書というよりは様々なカードのセキュリティの話題に関する読み物という位置づけと思われるが、企業や大学の研究・開発の現場で活躍されてきた著者だけに技術的にも踏み込んだ記述もあり、カードのセキュリティについてどのような攻撃やその対策についての研究が行われているかなどを楽しく読み進めながら理解することができる。

本書の構成
———————
第1章 急増するカード犯罪
第2章 カードからお金を盗み出す手口
第3章 導入が本格化した「生体認証」技術
第4章 偽造を許さない「ICカード」の仕組み
第5章 ICカードのセキュリティを支える暗号技術
第6章 ICカードへのサイドチャネルアタックと耐タンパー技術
第7章 ICカードを狙うさまざまなアタックと耐タンバー技術
第8章 セキュリティ技術アップのための課題
———————

■書籍
カードセキュリティのすべて―進化する“手口”と最新防御策
日本実業出版社、神永 正博著
¥ 1,575 (税込)

card_security.jpg


※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ:

【書籍】ユビキタス時代の著作権管理技術~DRMとコンテンツ流通

2007 年 2 月 21 日 コメント 1 件

WinnyやShareなどでさまざまな著作物が自由に交換されている一方で、地上デジタル放送やハイビジョンTV, Blu-ray, HD-DVD, iPodなどいつしか我々の周りには著作権管理のしくみを適用した様々な機器があふれかえっている。

著作権管理の技術や仕様はAACS, CPPM/CPRM, DTCP/DTCP-IP, DLNAなど多数のアクロニムが登場しとっつきにくい一面があるが、本書はこのような世界を平易な表現でわかりやすく網羅的に解説している。

本書では技術的に深く突っ込んだ議論が行われているわけではないが、現在どのような技術が適用されているのかなどを概観し、個々の技術について深く掘り下げたい場合には参考文献や紹介されているサイトを参考に、調査をしていけばよいだろう。

一般向けに詳しく解説されることの少ない分野ではあるが、著作権の一般概念にはじまり利用されている暗号技術などについても丁寧に記述されており、効率よく著作権管理技術の動向を理解したいという人にずばりお勧めである。

本書の構成
———————
序章 著作権管理の基礎知識
第1章 DRMの基礎技術
第2章 流通メディアから見た保護技術
第3章 暗号技術を中心としたDRM標準化動向
第4章 メタデータ活用を中心としたDRM標準化
第5章 コンテンツ流通システムの実際
第6章 コンテンツ流通市場におけるDRM
付録A XMLとWebサービス
付録B 著作権法(抄)
———————

■書籍
ユビキタス時代の著作権管理技術~DRMとコンテンツ流通
東京電気大学出版局、今井秀樹編著
¥ 3,150 (税込)

drm.jpg



※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

カテゴリー: 書籍 タグ: