ソフトウェアの品質を学びまくる2.0

ソフトウェアの品質、テストなどについて学んだことを記録するブログです。旧ブログからゆっくり移行中です。http://blog.livedoor.jp/prjmng/

【本】ウィルス対策ソフトの会社は日々何を作っているのか?

 ウイルス、およびアンチウイルスソフトに関する話題を中心に、ネット周りのセキュリティについて、McAfeeのCTOが幅広く語った本。
 大学の理系教科書みたいな暗い表紙に、これまた色気のないゴシックフォントで『セキュリティの神話』。いまいちとっつきづらい外観ではありますが、中身はいたって軽快な語り口です。
セキュリティの神話

セキュリティの神話

  • 作者: John Viega,葛野弘樹(監訳),夏目大
  • 出版社/メーカー: オライリージャパン
  • 発売日: 2010/04/26
  • メディア: 単行本(ソフトカバー)
  • クリック: 123回
  • この商品を含むブログ (22件) を見る
 

  ここでいう「神話」とは何でしょう。

 それはたとえば、「パソコンをインターネットにつないだら、4分でウイルスに感染する」という報告。

pc.nikkeibp.co.jp

 アンチウイルスソフトを作っている会社は裏でウイルスをバラまいているという噂。オープンソースのソフトウェアはそうでないソフトウェアより安全であるという主張・・・。
 著者はこのような「神話」をとりあげ、事実と嘘とをエッセイ風に選り分けていきます。技術に偏り過ぎず、かといって一般人向けに噛み砕きすぎてもいないこのような本は、意外に少ない。
『セキュリティの神話』 P.XII
 この本を書くにあたっては、「私の母が読むような本にする」というのを1つの目標にしていた。
 この本をわたしの母が読んでいたら悲鳴をあげてしまいそうですが、「IT関係の仕事をしているが、セキュリティに詳しいわけではない」といった人にはオススメできます。逆に、セキュリティ技術について深く勉強したい人には物足りないでしょう。
 『セキュリティホールはなくせる?』と題した第28章は、「セキュリティ」を「テスト」に、「セキュリティホール」を「欠陥」に読み替えれば、そのままソフトウェアテストの話になり、身につまされます。
『セキュリティの神話』 P.169
 「コードをよく見て、セキュリティホールがないかを探せ」という指示のもとに仕事をした場合、その仕事が成功したかを果たしてどう評価すればいいのだろうか。その仕事の質が高いか低いかは、何を基準に判断するのか。担当者が「探しましたが、セキュリティホールはまったく見つかりませんでした」と報告したとしよう。確かに何もないのかもしれない。だが、実際には、何十、何百と残っているのに見つけられなかったのかもしれないのだ。
(中略)
 また、開発をする人間が、はじめから、セキュリティホールの作り込みを予防するような方法でソフトウェアを作っていたとしたらどうだろう。その場合も、仕事ぶりをどう評価するかの判断は困難だ。しかも、予防策を取ったがために、余計な時間を要し、スケジュールに間に合わないということが起きれば、当然、評価は下がってしまう。
 その難しさをあらためて認識してから「はじめに」を読み直すと、思わぬ伏線に気づきます。
『セキュリティの神話』 P.IX
 本書『セキュリテイィの神話』は、コンピュータのセキュリティに関心を持つあらゆる人に向けて書いた本である。
 欠陥をなくすことの難しさを、最初の1文から仄めかしてくれた訳者様に感服。