システムのセキュリティの本当のこと

By ttakao, 2017年1月7日

マイナーなブログながら、読んでくださる人に感謝しております。

しばしばシステムのセキュリティについて、コンサルやら企業がいろいろ言ってますが絶対に言わないことがあります。

「セキュリティって人並みよりちょっとよければいい」

セキュリティ専門のコンサルの言うことを信じちゃいけません。

コンピューターのメモリーに以前のプログラムのデータがあるのを読み取られる可能性がある、とか事実上、意図的にやらねばほぼ不可能なこともリスクとしてあげつらう人種です。

実際のインターネットのトラフィックを眺めると、
個人宅のインターネットのアドレスにも大量のロボットやポーリングがかかっています。
残念ながら中国からが多いようです。

じゃぁ、どんな家がハッキングされるかというと比較的ゆるいところです。
ファイアーウォールがないに等しい、ルーターのadminのパスワードが購入時のまま、とか。

敵は「誰でもいい」と思って簡単に調査にやってきているのです。

わかりやすく言えば、チンピラが駅前広場にいて通り過ぎる人を見ていて、カモになりそうな人間に声をかけるのと同じことです。

企業システムも同様です。Yahoo!とかGoogleとか世界に名を知られた企業は別です。

一般の普通の企業は、誰かがプロに依頼しない限り、他より強ければいいのです。
オフィスでもいまだにパソコンにセキュリティソフトを入れないで使っている企業は多数います。

そういうところよりセキュリティソフトをとにかく入れる、ということだけで狙われなくなるのです。

IPAやらマイクロソフトなどの定期的なセキュリティホールのアナウンスを見て必死に対策することはバカげています。それをやるべき企業はごくごく限られているのです。

これは私独自の意見でもありません。

私が働いているパッケージソフトのセキュリティの方針は「実害が証明されたら対応する」です。
暗号化に不備があっても1パケット復号化するためにスーパーコンピューターが必要そうなセキュリティホールについては実害を再現して欲しい、というのです。
言い換えるとペネトレーションテスト(脆弱性テスト)で見つかったホールすべてに対応することはしない、と明言しています。

それでいいのです。

セキュリティについて語る人はセキュリティで食べているということをお忘れなきよう。

What do you think?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です