「お役所」は技術、「犯罪者」は人を見る
セキュリティ特集といっても、管理人自身、まだWebサービスの展開を「企画中」なので、
全くエラそうなことは言えません。最近読みかじったセキュリティ関連の本をちょこっとご紹介。
このブログの記事を見てくださった方の、何かのキッカケになれば幸いです。
ただ、今回取り上げる2冊の本は、情報セキュリティについての
重要性を述べている人の立場と観点が、全く異なります。
情報セキュリティって、「これをやれば絶対安全だ!」なんてことはないと思いますので
違う立場の人が、違う観点から、考えやノウハウを披露することは
結構大切なことなのではないでしょうか?
Networking / ivanx
情報セキュリティ白書2012
書いているのは、独立行政法人情報処理推進機構(IPA)というところなので、
なんとなく「お役所な」ところなんでしょう(少なくとも次に取り上げる本の立場からすると)。
情報セキュリティの概況と分析がのってたり、その不正防止のための取り組みが
のってたりして、どちらかというと技術的な側面が強い印象があります。
もちろん、これ一冊で実務を乗り切れるとは思いませんが。
ただ、SQLインジェクションなどの脆弱性攻撃の例が、載ってたりするところを見ると、
「Webサービスをはじめたいけどセキュリティについて、何をすればいいのか分からん」
というWebサービス初心者の方が、最初の知識を得るには、けっこうおすすめかも。
欺術(ぎじゅつ)-史上最強のハッカーが明かす禁断の技法
独立行政法人を「お役所」というかどうかは、意見が分かれるところだと思いますが、
この本の著者の方と比べたら、IPAは多分、「お役所」なんでしょう。
なんせ、著者のケビン・ミトニックさんは、元・「犯罪者」です。
"「FBIが最も恐れた」史上最強のハッカー。ハッキング行為(ネットワーク犯罪)で、有罪判決を受けた史上最初の人物であり、FBIの「最重要指名手配」を受けた最初の人物でもある"
(著者紹介より)
本書にはハードウェアの技術もソフトウェアの技術も、ほとんど触れられていません。
高額な手数料を支払って、専門技術者にファイヤーウォールの設定をしてもらっても、
それだけでは全く不十分であると説明されています。そんなミトニックさんが、
強調するのは次の3点です。
- ソーシャルエンジニアリングの内容
- ソーシャルエンジニアリングの手口を知る
- 情報セキュリティの最大の弱点は、ハードでもソフトでもなく、人
「お役所」と元・「犯罪者」では、見るところ強調するところが、ずいぶん違いますね~。
詐欺師の手口を徹底的に知れということですか。
※ソーシャルエンジニアリング…
知らない人のためにはやらないことをすいすいとやらせてしまう、説得と誘導の技術のこと。
【参考文献】
徳丸 浩
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
ソフトバンククリエイティブ
0 件のコメント:
コメントを投稿