ソーシャルエンジニアリング、と呼ばれる技法がある。本書は、史上最強のハッカーとして恐れられた筆者がその技術を余すところなく開陳し、企業経営者に情報漏えいに対する警告を与えている良書である。

ソーシャルエンジニアリングという技法の要諦は、

人間をハックする

ことにある。つまり、人間の心理を逆手にとって、必要な情報をいとも簡単に手にいれる、という技術である。

システムの堅牢性は"weakest-link"により規定される。つまり、「鎖が切れる」のは一番弱い鎖からであり、そして、一度切れた鎖はもはや防御の用を成さない。コンピュータの発達により、ソフト的な堅牢性は毎年高まりつつあるが、それを運用する人間の意識はさほど変わっていない。このことは、システムを運用する人間こそが当該システムのweakest-linkたりうるということを示唆する。なぜならば、年年歳歳移ろい行く技術にフォーカスするよりも、移ろわない危機意識が希薄な人間の意識を相手にするほうがハカーにとっては「簡単」だからである。

例えば、企業内であればその企業に関係ある人しか知らない単語がある。その単語を知るためにはその会社組織の構成員でなければならない、という思い込みが、その用語を「パスワード」にしてしまう。つまり、その単語を知る人間を無条件に「身内」として扱ってしまうのである。仮に直接的な侵入が難しいシステムでも、オペレータをこの「パスワード」によりハックしてしまえば、システムは武装解除されてしまう。そうすればあとは簡単に必要な情報を得ることが出来てしまうのである。

本書にはこのような例が数多く載せられている。個人情報の漏洩が会社生命をも左右する現代において、このような手法の存在は、恐怖である。

しかしながら、福音は存在する。本書の後半25%はそのような「ソーシャルエンジニアリング」からいかにして身を守るかということに割かれている。しかも、それが即座に実践可能なチェックリストとして提供されている、という点は特筆に価する。

経営者はもちろんのこと、およそ、個人情報を扱う部署に所属する人には必読の文献であろう。