TOP情報セキュリティ> 【セキュリティ最前線】セキュリティホールをついて遊ぶ> 第1回:体当たりで学ぶセキュリティ! (1/3)




【セキュリティ最前線】セキュリティホールをついて遊ぶ

【セキュリティ最前線】
セキュリティホールをついて遊ぶ

第1回:体当たりで学ぶセキュリティ!

著者:シンクイット編集部

公開日:2008/1/11(金)

ハマってこそわかるセキュリティの重要性

セキュリティ対策についてさまざまな視点から紹介・解説している1月の特集「セキュリティ最前線」。各記事を読んで「こういったセキュリティ対策は重要だ」と痛切に感じる人と、「ほんとに対策は必要なのか?」と疑問に感じる人がいることだろう。

本連載「セキュリティホールをついて遊ぶ」は、「ほんとに対策は必要なのか?」と思っている読者の方にこそ読んでほしい。これは、セキュリティ対策の重要性は、被害にあった経験を持っている人こそが、一番理解できるものだからだ。

例えば「バックアップ」の重要性は、使っているPCのハードディスク上の大事なデータをすべて吹っ飛ばしてしまった人こそ感じるはずだ。Webブラウザでブラウザクラッシャーが含まれたWebサイトを開いてしまった人なら、そういったURLへのジャンプやポップアップウィンドウの抑止機能に興味があることだろう。

そして、企業システムがなんらかの攻撃にさらされたという経験を持っていれば、その企業はセキュリティ対策に対して真摯な態度で臨むことだろう。それはすべて「ある行為」が行われたときに「どんな被害が起こるのか」を体験したからこそ立てる境地なのである。

図1:より重要性を感じるのは被害を受けたユーザ
図1:より重要性を感じるのは被害を受けたユーザ

とはいえ、何か被害を受けるまで放置するという姿勢で臨むのはいかがなものだろうか。

個人で使っているPCであれば、重要なデータといっても場合によっては諦めが効くものがほとんどだろう。ブラウザクラッシャーの被害にあったとしても、PCをリセットすることは容易だ。しかしビジネスの現場では、そうはいかないケースが多い。

例えば顧客管理データについて考えてみよう。もしサーバ上で管理している顧客データが何らかの理由で消滅してしまったとき、バックアップを取っていないとしたら次の日からの仕事は完全にストップしてしまうだろう。もし実際にバックアップが取られておらず、その仮定が現実のものとなってしまうと、企業にとっては大きな損害となる。

もし「集中管理すると被害が大きいから、個別のPC上で別々に情報を管理している」というならば、それは別の問題をはらんでいる。その個別のPCに対して正しくセキュリティ対策が施されていなければ、情報流出の可能性が飛躍的にアップしてしまうのだ。

ビジネスに直結した情報を扱う場合、「一度経験してから重要性を理解する」のでは手遅れだ。しかし、いくらセキュリティ対策を周知しようとしてセキュリティポリシーを決めたとしても、その重要性を真に感じていなければ、効果は疑わしいものとなってしまうだろう。

では実際の企業システムが被害を被ることなく、その重要性を理解するには、どのようにしたらよいのだろうか。 次のページ



この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第1回:体当たりで学ぶセキュリティ!
ハマってこそわかるセキュリティの重要性
  先人たちは体当たりで学んだ
  実体験と無謀な行為はまったく違う
【セキュリティ最前線】セキュリティホールをついて遊ぶ
第1回 体当たりで学ぶセキュリティ!
第2回 PHPのSQLインジェクションを実体験
第3回 Railsでセッションハイジャックを実体験