ちょき☆ぱたん お気に入り紹介 (chokipatan.com)

第1部 本

 IT

あなたのセキュリティ対応間違っています(辻伸弘)

『あなたのセキュリティ対応間違っています』2016/10/21
辻 伸弘 (著) )


(感想)
 実際のサイバー攻撃を調査・解析した上で、企業や組織はどう対応したらよいかを教えてくれる本です。
 JTBや年金機構の情報漏洩事件、アノニマス、ランサムウエアなど、世間を騒がしたセキュリティ事件・事故についての概要を知ることも出来て、現実の厳しさを思い知らされました。
 JTBの情報漏洩事件は、JTB側の対応が遅れるように、わざと3連休を狙って攻撃をしかけたのではないかと推察されています。攻撃側は、最も効果的に「隙を狙える」時期を選んでくるんですね……本当に嫌な奴らです(汗)。
 なかでも年金機構の情報漏洩事件では、巧妙な偽メールから、どのように身を護ったらいいのか悩まされました。と言うのも、「標的型攻撃メールの本文には、年金関連の団体がWebサイト内で使用していた実在する文章が使われていた」からです。これを偽物のメールと気づくのは、本当に容易ではないと思います。
 また、年金機構では、個人情報が入っているファイルにはパスワードをかけるルールになっていたようですが、処理が煩雑になるため、実際にはほとんどの職員がパスワードをかけていなかったそうです。これに対して辻さんは、これは職員の個人的な問題ではないと言います。「守れないルールを作り、ルールが守られていないことに気付けていなかった時点で、本来は組織の責任なのです。守れないルールによる運用は、大変危険な脆弱性です」……セキュリティに関するルールは、可能な限り「守りやすい」ルールを設定すべきなのでしょう。
 そして「マルウェアへの感染を想定し、感染した場合の対応方針を組織として事前に準備すること。できれば対応手順を実際に訓練しておく」ことが大事なのだと痛感しました。
 この本は、セキュリティ担当の人だけでなく、経営層や一般人にとっても、(それなりに)分かりやすく最新のセキュリティ事情を説明してくれるので、とても参考になりました。
 システムの脆弱性に対応するために取り組むべきことは、主に次の3つだそうです。
1)使用しているソフトウェアやそのバージョンなどを把握しておく
2)脆弱性情報は複数の報道を見た上で、必ず一次情報を確認する。
3)信頼できるセキュリティ専門家の意見をSNSなどを使って参考にする。
 また、脆弱性情報を収集できるサイトとして、次の3サイトが紹介されていました。
1)Security Focus(脆弱性情報の検索サイト)
2)CVE Details(脆弱性情報をまとめたWebサイト)
3)The Exploit Database(攻撃コードや脆弱なソフトウェアの情報をまとめたWebサイト)
 ITセキュリティというのは、難しいコンピュータ用語・めまぐるしく変わっていく技術情報を追いかけるのが大変な上に、「本業と関係ない」知識や行動を強いられるので、出来れば「誰かに丸投げでお任せしたい」分野です(汗)。
 それでも、犯罪者から身を守るために「大金を持っている時は危険な夜道を一人でふらふら歩かない」程度の常識が求められるのと同じように、今後は、「誰でもITセキュリティの最低限の常識を持っている・行動していく」ことが求められるようになると思います。面倒くさくて本当はイヤなのですが(汗)、今後も、ITセキュリティの動向に注目していこうと思います。
 最後に、誰でも知っておくべき「パスワード設定の3大鉄則」を紹介します。あなたは大丈夫ですか?
1)短い文字列を設定しない
2)名前や生年月日、単語など推測できる文字列を使わない
3)使いまわさない。
   *    *    *
 別の作家の本ですが、『プロが教える情報セキュリティの鉄則 ――守り・防ぐ・戦う科学』、『間違いだらけのサイバーセキュリティ対策―目的志向型で実装する効果的なセキュリティ強化策』、『Web担当者のためのセキュリティの教科書』、『ISO/IEC 27017 クラウドセキュリティ管理策と実践の徹底解説』、『実録・サイバー攻撃の恐怖~あなたの“すべて"が狙われている!』、『DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』など、セキュリティに関して参考になる本は多数あります。
 なお社会や脳科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。

Amazon商品リンク

興味のある方は、ここをクリックしてAmazonで実際の商品をご覧ください。(クリックすると商品ページが新しいウィンドウで開くので、Amazonの商品を検索・購入できます。)