サイバーカノンブックレビュー:エンジニアリング信頼できるシステム:サイバーセキュリティ設計を初めて正しく取得

This post is also available in: English (英語)

サイバーカノンブックレビュー:「エンジニアリングの信頼できるシステム:サイバーセキュリティ設計を初めて正しく取得する」2018年、O.サミ・サイジャリ

書籍のレビュー:ベン・ロスケ

要するに：サイバーセキュリティキヨンの殿堂にこの本をお勧めします。

レビュー： 

数回のクリックとプラグインで設計された100階建ての建物を想像してみてください。デザイナーとビルダーの両方が、同様にそれぞれの分野で重要な専門知識を持っていなかったと想像してください。ほとんどの人は安全上の懸念から建物に足を踏み入れることは決してありませんでした。企業は、従業員をそのような建物に移すという滑稽な概念を決して楽しませないでしょう。

しかし、ITシステムに関しては、その多くがミッションクリティカルであり、重要なインフラストラクチャで運用されている場合、情報セキュリティやプライバシーの見直しを行わずに同様に構築されています。多くの場合、IT のレーダーの下で、セキュリティで保護されていないシステム、ネットワーク、およびアプリケーションを構築できる使いやすさが懸念の原因です。

で "信頼できるシステムのエンジニアリング:サイバーセキュリティ設計を初めて正しく行う著者O.サミ・サイジャリは、個人情報の効果的なセキュリティとプライバシーを確保できる安全性の高いシステムを設計する方法について、素晴らしいガイドを書いています。

ニューヨーカーはラジオ局1010 WINSのキャッチフレーズを知っています:「あなたは私たちに22分を与える、私たちはあなたに世界を与えます。22 分で AWS に大幅な規模のクラウドベースの IT インフラストラクチャを作成できると主張しても、誇張は言い切れありません。また、このようなインフラストラクチャがセキュリティとプライバシーの管理に深刻に欠けていると主張しても、誇張もありません。それはそこで "エンジニアリング信頼できるシステム"安全性の高いシステムを設計する方法に関する素晴らしいガイドとして登場します。

それを行う方法を本当に詳しく説明する最初のガイドは、ロスアンダーソンの古典的なリファレンスでした, "セキュリティ エンジニアリング: 信頼性の高い分散システムを構築するためのガイド."2001年に書かれ、2008年に更新され、情報セキュリティの世界は、その後、根本的に変化し、変革しました。「エンジニアリング信頼できるシステム"それらのギャップの多くを埋めます。驚くべきことに、サイジャリはアンダーソンの本を参照していません。

"エンジニアリング信頼できるシステム"情報セキュリティの詳細な理解を得ようとしている方から、複数学期コースの大学テキストとして使用したい方まで、幅広い読者にとって非常に貴重です。

Saydjariが最初に行う興味深い観察は、安全なシステムを設計する人々は、単一の白血球としてではなく、免疫システムとしてサイバーセキュリティ設計にアプローチしなければならないということです。多くのセキュリティ管理者は、境界ファイアウォールと DMZ がインフラストラクチャをセキュリティで保護するのに十分であると考えています。このようなアプローチを使用している人は誰でもひどく失望するでしょう。違反は数時間で起こりそうです。

Saydjariは、このほぼ500ページの作品に膨大な量の材料を詰め込みます。25 章は手続き的に記述されています。情報セキュリティの中核的な領域を読者に説明し、すべての基本事項をカバーします。また、グラフや図を使用して、手元にあるトピックの詳細な理解を提供することもできます。

この本が伝えるメッセージは、情報セキュリティには、正式なエンジニアリング手法による厳格で規律あるアプローチが必要だということです。その大規模な IT インフラストラクチャを AWS で稼働させることは簡単な部分です。安全に設計され、安全に保たれることを保証することは、まったく別の問題です。この本は、このトピックに対して、この包括的なアプローチを取り入れ、システムに組み込む必要がある情報セキュリティのさまざまな層を読者に案内します。

この本を読んで得るものは、安全なシステムを包含する詳細の広さです。多くの人にとっては、ファイアウォール、Active Directory GPO、または AWS セキュリティポリシーに関する情報です。攻撃者は非常に広範なアプローチを取るので、防御可能なネットワークを作成するユーザーも同様に広範なアプローチを取る必要があります。Saydjari は、セキュリティの重要性を深くするだけでなく、セキュリティの重要性を詳しく説明しています。

この本は、システムの信頼性が非常に重要であり、最初からシステムに設計する必要があることを強調しています。このようなアプローチの欠如は、多くの体系的なセキュリティ障害や巨大なデータ漏洩につながっています。

本のもう一つのテーマは、リスク定量化です。効果的なCISOは、取締役会にリスクを説明するためのデータとコミュニケーションスキルを持っている必要があります。これを行うための最良のガイドは"情報リスクの測定と管理:フェアアプローチジャック・フロイント博士とジャック・ジョーンズ博士による。Saydjari は本から引用していませんが、これらのアイデアを上級管理職に伝える方法に関する方法を提供しています。

情報セキュリティをシステムに組み込むことの重要性と、それを行う詳細な方法の両方を理解したい方のために、「信頼できるシステムのエンジニアリング」"最も歓迎され、貴重な参照になります。

をモデル化しました。サイバーセキュリティカノン野球殿堂とロックの後&サイバーセキュリティの本を除くロールの殿堂。最初の候補者リストには25冊以上の書籍がありますが、サイバーセキュリティコミュニティから支援を募り、その数を増やしています。レビューを書いて、お気に入りを指名してください。 

サイバーセキュリティカノンは、私たちのコミュニティのための本物です。私たちは、あなたができるようにそれを設計しましたプロセスに直接参加する.どうぞお願いします!