« 2006年5月28日 - 2006年6月3日 | トップページ | 2006年6月11日 - 2006年6月17日 »

「欺術」――ヒューマン・ハッキング・クックブック

 コンピュータの名著100冊[参照]で推されて一読、スゴいね、これ。

 いわゆる、コンピュータやネットワークの脆弱性を狙った正攻法クラッキングなら多々あれど、これはソーシャルエンジニアリングの事例集。ねとらん無用の逸品だ。

 ショルダーハッキングからハードウェアハッキングまで、19の手口が具体的に挙げられている。そして、全てのパターンにあてはまる共通項がある。それは、人間こそが攻略のカナメだということ。

 認証デバイス、アクセスコントロール、侵入検出システムなどは、今の企業では必需品(日用品?)かもしれないが、そんな「守り」をいくら固めても、彼らはやすやすと突破できる。なぜなら、それらを相手にしないから。どんな防御であれ、ウィーケストリンク(最も弱い環)になるのが人間だという真実を思い知らされる。
欺術
 「最も安全なコンピュータは、電源を切ってあるコンピュータだ」とは言い得て妙だが、真実ではない。ソーシャルエンジニアは、もっともらしい口実を駆使して、内部の誰かを口説いてコンピュータの電源を入れてしまうのだ。これは本書で言及されている話だが、ウソでも冗談でもない。

 セキュリティ本のほとんどが、ハードウェアとソフトウェアの話に終始し、最も深刻な脅威である人間に対する詐欺的な犯行を扱っていない。この本は、(わたしも含まれる)読者だけでなく、同僚、上司、部下が騙されるときにはどうやって騙されるのかがケーススタディ方式で書かれている。さらに、煽っておしまいではなく、犠牲者にならずに済むための防御の方法、犯行の兆候、予防施策がこれまた事細かに列挙されている。

 忙しい方なら p.501 の付録「一目で分かるセキュリティ」を読んで(わずか10ページにまとめてある)、第16章のセキュリティポリシーを取捨選択すればよい。まさに至れり尽せりの一冊なり。

 ただし、問題がある。ヒューマン・ハッキングの共通パターンが易々と身に付くので、読み終わったときには「ボクにもできるカモ」と思ってしまうところ。サイト「激裏情報」や「悪のマニュアル」(PC版でない奴、今は絶版)、コミック「ナニワ金融道」、小説なら「白昼の死角」(詐欺小説の傑作)などと一緒。法律スレスレのテクニックと、どこがボーダーラインかの見極めはセンス。よい子はもちろんマネしないが、センスだけは磨いておこう。

 実はもう一つ、問題がある… いや、「ない」と言うべきか。何が「ない」のかというと、企業の"外側"からの犯行ばかりで、企業"内"犯罪者の手口・事例が書いてないのだ。企業にとって最も恐るべきなのは、社員の犯行だろう。優秀なエンジニアなら痕跡を完璧に消し去り、企業活動の奔流に犯行を散りばめ呑み込ませるだろう。著者が意図的に書かなかったのは明らかだが、賢明というべきか。あるいは読み手が推して知るべしというメッセージか。獅子身中のワームについは「悪のプログラマ」に書いたが、この辺でやめておこう

| | コメント (2) | トラックバック (1)

いきなりコンサルタントに抜擢されたSEが読むべき4冊目

 このエントリは、「いきなりコンサルタントに抜擢されたSEが読むべき3冊」[参照]の続きになる。
情報システム計画の立て方
 「コンサルタント」と一緒に仕事をしたことがあるだろうか? 肩書だけのなんちゃって自称コンサルではなく、McKinsey & Company や accenture といった、それでメシ喰っている連中のことだ。

 彼らの阿呆ほどの猛仕事ぶりは、「マッキンゼーITの本質」[参照] に書いたが、仕事の順序というか、ダンドリの要領よさについては常々不思議に思っていた。「俺たちに明日はない」という言葉がピッタリの猪突猛進なのだが、仕事のやり方は整然粛々としている。見た目のロジカルさだけでなく、コンサルティングの仕事そのものが、あたかも何かのマニュアルに従っているかのような感じがしてならなかった。

 その予感はあたってた。マニュアルを見つけたんだ。それは、「情報システム計画の立て方・活かし方」。いや、その辺に転がっている教科書的な奴じゃない。だって、いわゆる問題解決の技法(現状把握→要因分析→問題の構造化→課題の抽出→打ち手の導出)なんて、そこらに落ちてるでしょ。本にしてもありがたがるのは新人だけだろうし。本書は網羅性や一覧性で読んでもらうつもりではない。文字+成果物だけで、どちらかというと無味乾燥。

 ところがこれは、コンサルタントの種明かしなんだ。本書はズバリ、以下を目的とした調査・分析・資料づくりの方法が書いてある。「方法」というよりも、ひとつのプロジェクトの一連の仕事が克明に書いてある。

    1) 情報システム計画を立てる
    2) それを経営者(意思決定者)に納得させる

 重要なのは 2) 。最初の「計画の立て方」なんて、社内リポジトリをさらえばフォームがいくらでも出てくるだろう。asIs と toBe を絵にして、スケジュールと予算と構成図と体制表をちょいちょいと書けば、ハイ、一丁あがり!

 ところがそれじゃダメなんだ。「計画を立てる」ことは、フォームを埋めることではないんだ。経営者はそれじゃ動かない。システムにカネを使うのがイヤだから、なんじゃない。システム改善施策のそれぞれが、業務運用をどう良くするのか、グランドデザインのどこにどう効くのか、ひいては経営目標にどの程度寄与するのか、それぞれのリスクと実現時期と代替案は…これらの疑問にロジカルかつ数字つきで答えられない限り、ウンと言わない。

 そんな「システム計画」があるのだろうか?

 ある。それが本書。経営目標からトップダウンで作成する作り方 KnowHow が具体的に述べられている。わたしがコレダ!と思ったのは、McKinsey の連中の「動き」が、まさにこれに則ってやっていることに気づいたから。本書は今は亡きアンダーセン出身の気鋭が著したものだが、コンサルティングのダンドリは一緒。

 ぶっちゃけはっちゃけ、彼らのカンペ。

 だから、読めばフルフル震えるはず、怒りで。「システム計画」を策定する際の、スケジュール・予算・リソース・リスクがどんな風に決められているかを知ると(ヒント:計画が認可され、システム開発が始まる頃、彼らの契約は終わる)。

 あるいは、読むとナルヘソと思うはず、経営者をどんな風にコマすのかを知って。その極意はオンナと一緒。人は自分の台詞で口説かれるのが好き。だから、落とす相手の言葉でもって攻める。経営者が出す「目標」を計画の隅々までロジカルに展開させ、一方で、展開された枝葉が「目標」を支えているかのごとく描く。自分のセリフが美しく精緻な計画表になって、立て板トウトウとプレゼンされたら、そりゃ落ちるってば。

 経営者であれ意志決定者であれ、彼らはコンサルタントの話を聞きたいんじゃない。自分の考えを、話して欲しいんだ。自分の考えを、コンサルタントの口から聞くとき、はじめて経営者は耳を傾けるようになるんだ

 この極意、言葉にすると非常に簡単なんだが、こいつをシステム戦略計画の隅々まで行き渡らせる方法は、非常に泥臭く、しんどい。極意は本書のどこにも書いていないが、極意を実現する方法ならいっぱい詰まっている。

 目次を転記しておく、お悩みの方は、お試しあれ。

  序章 経営計画の実現を約束する
  第1章 戦略的システム化計画のすすめ
  第2章 戦略的システム化計画の全体像
  第3章 フェーズ1 経営計画マップの作成
  第4章 フェーズ2 重点施策の整理
  第5章 フェーズ3 情報システム要件の立案
  第6章 フェーズ4 情報システム構成の立案
  第7章 フェーズ5 全体推進計画の立案
  第8章 フェーズ6 経営者向け説明資料の作成
  第9章 企画した効果を出すために

 …あ、ひとつ忘れてた。4章と5章との間に「なぜシステム化か?」の疑問に答えるための理論武装が必要なんだが、意図的に(?)書いていない。こいつまで明かしちゃうと喰いっぱぐれるかもしれないからか。やってみればロジックの飛躍に気づくので、自分で埋めておくこと。

| | コメント (4) | トラックバック (1)

« 2006年5月28日 - 2006年6月3日 | トップページ | 2006年6月11日 - 2006年6月17日 »