2013年8月27日火曜日

Webサービスをはじめるためのセキュリティ特集

「お役所」は技術、「犯罪者」は人を見る



セキュリティ特集といっても、管理人自身、まだWebサービスの展開を「企画中」なので、
全くエラそうなことは言えません。最近読みかじったセキュリティ関連の本をちょこっとご紹介。
このブログの記事を見てくださった方の、何かのキッカケになれば幸いです。



ただ、今回取り上げる2冊の本は、情報セキュリティについての
重要性を述べている人の立場と観点が、全く異なります。



情報セキュリティって、「これをやれば絶対安全だ!」なんてことはないと思いますので
違う立場の人が、違う観点から、考えやノウハウを披露することは
結構大切なことなのではないでしょうか?





Networking / ivanx





情報セキュリティ白書2012








書いているのは、独立行政法人情報処理推進機構(IPA)というところなので、
なんとなく「お役所な」ところなんでしょう(少なくとも次に取り上げる本の立場からすると)。



情報セキュリティの概況と分析がのってたり、その不正防止のための取り組みが
のってたりして、どちらかというと技術的な側面が強い印象があります。
もちろん、これ一冊で実務を乗り切れるとは思いませんが。



ただ、SQLインジェクションなどの脆弱性攻撃の例が、載ってたりするところを見ると、
「Webサービスをはじめたいけどセキュリティについて、何をすればいいのか分からん」
というWebサービス初心者の方が、最初の知識を得るには、けっこうおすすめかも。




欺術(ぎじゅつ)-史上最強のハッカーが明かす禁断の技法








独立行政法人を「お役所」というかどうかは、意見が分かれるところだと思いますが、
この本の著者の方と比べたら、IPAは多分、「お役所」なんでしょう。
なんせ、著者のケビン・ミトニックさんは、元・「犯罪者」です。


"「FBIが最も恐れた」史上最強のハッカー。ハッキング行為(ネットワーク犯罪)で、有罪判決を受けた史上最初の人物であり、FBIの「最重要指名手配」を受けた最初の人物でもある"


(著者紹介より)


本書にはハードウェアの技術もソフトウェアの技術も、ほとんど触れられていません。
高額な手数料を支払って、専門技術者にファイヤーウォールの設定をしてもらっても、
それだけでは全く不十分であると説明されています。そんなミトニックさんが、
強調するのは次の3点です。


  • ソーシャルエンジニアリングの内容
  • ソーシャルエンジニアリングの手口を知る
  • 情報セキュリティの最大の弱点は、ハードでもソフトでもなく、



「お役所」元・「犯罪者」では、見るところ強調するところが、ずいぶん違いますね~。
詐欺師の手口を徹底的に知れということですか。



ソーシャルエンジニアリング
知らない人のためにはやらないことをすいすいとやらせてしまう、説得と誘導の技術のこと。




【参考文献】


徳丸 浩
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
ソフトバンククリエイティブ











0 件のコメント:

コメントを投稿