セキュリティはなぜやぶられたのか と、その同時購入商品を検索しました。

　本書は、２００３年にセキュリティの専門家と言う立場からアメリカで書かれた本で、犯罪者に対する防御について検討考察を行ったものである。
　出版時期から、９．１１とテロに対する予防策に多くのページが割かれているが、より一般的なリスクとそれに対する対応策としてとらえ直すこともできる。
　そういう意味では、本書の第１章で述べられている「トレードオフのないセキュリティはない」という点は大いに参考になる。　一般に何かミスがあると必ず再発防止策を検討するものであるが、対策をとれば必ず何らかの「不便さ」が生じてくる。費用が大きすぎることもあるし、さらには何の効果のない対策がとられることも多い。
　また、対策をとっているふりをする単なる「セキュリティ芝居」にすぎないことも多い。
　これらの問題に対処するためには、本書で紹介されている五つのステップによる評価法（守るべき資産は何か、その資産はどのようなリスクにさらされているのか、セキュリティ対策によってリスクはどれだけ低下するのか、セキュリティ対策によってどのようなリスクがもたらされるのか、対策にはどれほどのコストとどのようなトレードオフが付随するのか）が使える。
　ただし、絶対確実なセキュリティはない、優れたセキュリティの中心は人である、としているのが印象的である。
　具体的事例も豊富で、リスク管理の検討には大いに参考になる。それだけでなく単なる読み物としても面白い。おすすめである。（takokakuta / 2007-06-16）

暗号は、コンピュータ社会では避けて通ることができない技術です。
ただし、多くの人が知ってしまうと、逆に危険も増えるかもしれないという変わった技術です。そのため、読むことを勧める人は限定するとよいかというと、逆に限定した人が危険かもしれないので、どうしたらいいか分かりませんでした。
そういう状態に対して、よい考えを示してくれるのが本書かもしれません。
プロセス（作業、手順）が大事だとすると、関連する技術はSSE-CMMでしょうか。（kaizen / 2008-04-22）

仕事上の必要があって手に取った。
本書では、自然災害や事故など不作為のリスクを除いた「意図的な攻撃」に限定して、セキュリティを論じている。セキュリティとは、意図的な攻撃からの防御、防止のことをいう。セキュリティ対策は煎じ詰めれば、金銭や利便性などとのトレードオフで決めればよいのだが、実際のところ、そのバランスが悪いことが多い。
例えば、自動車と飛行機の事故率は、はるかに自動車が高い。仮に飛行機の事故率が自動車と同程度だとすると、米国では一日半に１機、ボーイング７２７が墜落する計算になる、という。驚愕の数字だが、しかし感覚的には自動車の方が安全と感じるのは、実際のリスクと体感リスクが異なるからである、という。
体感リスクによることなく、実際のリスク量を正確に見積もってセキュリティ対策を立案することが肝要、というのが本書の趣旨である。やや冗長だが、用例が豊富で、リスクと対策のバランスに対する考え方をじっくり練ることができる。好著といってよい。（丁三 / 2007-06-14）

セキュリティを５つのステップで分析・評価し、それに伴う不便・費用とのトレードオフを考えよう、という内容です。
８万人の読者が、著者が毎月発行するセキュリティに関するニュースレターを読んでいるとのことです。
５つのステップとは以下の通り。
１．守るべき資産は何か
　　何かのモノなのか、それに見合う金額なのか、
　　それを失う時に感じる心理的ダメージの回避なのか、などをきちんと把握する必要がある。
２．その資産はどのようなリスクにさらされているのか
　　何を守っており、守り損ねた際の損害はいくらか、
　　誰が、どのような理由で、どんな方法を使って攻撃してくるのか
　　できる限り数値で考える（例：飛行機事故で死ぬより自動車事故で死ぬ確率が５０倍以上高い）
３．セキュリティ対策によって、リスクはどれだけ低下するのか
　　対策の効果だけではなく、その他の事柄との関係や、運用失敗の可能性も検討する
４．セキュリティ対策によって、どのようなリスクがもたらされるのか
　　別のセキュリティ問題が起こってしまわないか
５．対策にはどれほどのコストと　どのようなトレードオフが付随するか
　　お金、不便、プライバシーの侵害など
このステップで考えると、一般に妥当と思えるセキュリティ対策も、あまり意味がないことが多いのが分かります。
こうすれば大丈夫、といった類の本とは一線を画した、興味深い内容でした。（plateau / 2007-04-01）

最近は飛行機に乗る際、ペットボトルの持込みが禁止されているそうだ。勿論、テロ対策の一環である。しかし、こうした防止策が煩わしい割りに本当に効果があるのか疑問に思う方も多いであろう。本書はそうした疑問に答えるべく、セキュリティ全般に対する投資コストとその効果について論じている。著者は元々暗号の専門家だそうで、その経験からセキュリティ全般について発言するようになった由。私の職業はソフトウェア開発で、業務上幾つかの暗号プログラムを開発した経験があるので、著者の考え方の筋道は良〜く分かった。
著者の言わんとするセキュリティの問題とソフトウェア開発の問題とには緊密な関係がある。
(1) セキュリティに絶対は無く、リスク(セキュリティ・ホール)が常に存在する。ソフト(例えば暗号プログラム)の品質にも絶対は無く、必ずバグはあるし、予測できない事態も起こり得る。
(2) ある時点で安全なセキュリティ対策も時と共に陳腐化する。ソフトも同様で、暗号に限って言えば、従来使われていたDESがAESに取って代られようとしている。
(3) ある局面でどの程度のセキュリティ対策を施すかはコスト・パフォーマンスによって決めるべき。ソフトで言うと、(2)の例を借りると、コストはDESの方が安いが、AESの方が暗号強度は高い。コスト・パフォーマンスを考えると、相対的にAESの方が良い。この「コスト・パフォーマンス」という点を本書で著者は一番強調している。
(4) 守る価値のある物に対しては、ムダなようでもセキュリティ対策を施した方が良い。ソフトでも、予め全ての事態を予測できなくても、可能な限り異常対策処理を組み込んでおく。
著者は実社会における例を色々挙げているが、結局は自身がネットワーク・セキュリティを研究していた頃の見識の外挿であろう。ただし、「安全と水はタダ」と考えている我々日本人には警鐘となる書。（紫陽花 / 2007-03-12）

日本語版は2007年2月19日リリース。本文の内容についてはシュナイアー自身がこの本の中で書いているのだが執筆している内容は2003年だと述べている。シュナイアーの名著は3冊あるが、
『暗号と秘密のウソ』・・・日本語版2001年10月2日→執筆1997年
『暗号技術大全』・・・日本語版2003年6月6日→執筆1999年
『セキュリティはなぜやぶられたのか』・・・日本語版2007年2月19日→執筆2003年
ということになるだろう。暗号やセキュリティの世界は日々進化している。だからいつ本を読んでも既に古いことになってしまう。文字にしているうちに古くなる。法律が追いつけないのも無理はないのかもしれない。
この本は『暗号と秘密のウソ』と似た種類の本に分類される。ある意味アップデイト版とも言えるだろう。特徴はプログラムコードが一行も出てこないことだ。片や『暗号技術大全』はプログラム・コード満載である。シュナイアーはセキュリティを理解するためにはプログラム・コードとそれを使う人間とがそれぞれどうあるべきか二本建てであるべきだと考えているのだろう。資料は簡潔で非常に説明が分かりやすい。セキュリティの本でこれ以上に分かりやすく論点を明確にした本はないと僕は思う。ネットだけでなくテロや戦争にまで話は広がり、実に名著だと思う。（voodootalk / 2008-03-24）

仕事上セキュリティ強化を取り扱うことが多くなったため、そもそもセキュリティとはなんだろうかと疑問に思ったときに購入した本です。
著者の専門から暗号やIT関連に特化した内容を期待しがちなのですが、実際にはセキュリティ全般の著者の考え方・捉え方が語られています。主にセキュリティの作用副作用、特にセキュリティの強化と制約の強化の混同などについてわかりやすく記されています。
技術的に高度な内容が含まれているわけではありあませんが、セキュリティの概観を考えるうえで参考になる良い本だと思っています。（藍箱 / 2007-03-18）

セキュリティってなんなんだろう？
セキュリティを高めるにはどうすればいいのか？
ってことをわかりやすく伝えてくれる本です。
おそらく仕事としてセキュリティを提供する人のために
書かれた内容なのだと思いますが、その内容は平易でわかりやすく
特別な知識なしで読めます。
セキュリティに興味があれば、最初に読んでおくと入りやすいと思います。
ただし、アメリカ人を対象に書いている本なので、例えが若干
日本人には伝わりにくい部分もあるかもしれません。（ゆきち / 2008-03-14）

近年、日本でもセキュリティ事故が日常的に発生するようになってしまったが、導入される対策を見ると、「ここまでやるか？」というほど膨大なコストをかけて対策する企業もあれば、ザルとしか言いようがない企業もある。
すべてを理解した上でこのような対策であるならばいいが、何が脅威であるかも理解しないで対策をしているような場合は、本書に記してあるように「トレードオフ」を考える必要があると思う。（hayate / 2008-08-09）