タガヤっす。
最近WEBプログラマで人気の高いフリーの脆弱性スキャナをご紹介しておきます。
ボクは要件によってツールを使い分けています。
必要であれば、経験に基づいたメソッドも用いることがあります。
あ、調べてたらまとめサイトがあったので。
http://security.c-inf.com/index.php?VulnerabilityAssessmentTools
見て勉強してください。
情報が漏れないようにする仕組みも大事ですけど、
漏れても大丈夫な仕組みにしておくのも重要です。
絶対に漏れない保証ができないのであればこそだと思います。
サーバはペネトレーションテスト、
アプリはスキャナ。
DBもスキャナ。
これでも完璧にはできないんだから。
ここまでしてる会社をオレは知らんけどネ。
ちなみに。
経営者のセキュリティに関する危機感を煽ってる営業がいます。
#以前のエントリで書いた
・ ファイヤーウォールは必須です!
・ IDSが無くては犯人を特定できません!
・ ウィルス対策は万全ですか?
・ データを暗号化しましょう!
・ 個人情報の保護は万全ですか?(これはオレが経験した)
こういうことをウリにする会社は信頼できんよ。
ボク、ファイアウォールを運用しないサーバ構成の方が経験が多いですし、IDSはあった方がいいですけど防止にはなりません。サーバにウィルス対策が必要ない会社もあります。(アクティブディレクトリなどでクライアントを一括で管理するなど)
なにより、セキュリティに万全はないっ!
セキュリティポリシーを設定する方が何倍も重要。
例えば、御社のスタッフが顧客リストを持ち出すとか。
従業員の方への指導と意識改革の方が重要です。
そこからがスタートと言っても過言じゃないです。
あるとき、外注の方が何の断りも無く、当時所属していた会社のPCにUSBメモリを挿しました。ウチの技術者はその行為を問題だと認識しなかった。こっちの方が問題なのですよ。
もちろん外注の方には、理由を述べて丁重にUSBメモリ使用のお断りを入れ、中身を検閲させてもらいました。
そして技術部へのセキュリティに関する教育がはじまりました。
今ではとてもいい思い出ですw
タガヤっす。
大阪なのでよく知ってる「ナチュラム」も被害にあってしまったようです。関係者みなさんのご苦労をお察しいたします・・・
◆
さて先日も書いてたセキュリティに関することになってしまいます。
ボク個人の考えですが、日本の文化として「保険」という考え方は根付きにくいのかなあと感じています。
バイクが盗難にあったとき、盗難保険の大切さを知りました。
クルマで事故を起こしたとき、自動車保険の大切さを知りました。
関西大震災のとき、地震保険の大切さを知りました。
全てボクの経験です。
恐らく他にもまだまだあると思います。
さらに、友人たちにも同じようなことがたくさん起こっています。
しかし、すべて気付いたときには既に遅いのです。
今では、バイクを買う友人には盗難保険を勧めますし、
クルマを買う人には、任意保険(車両保険付き)を勧めてます。
転ばぬ先の杖、日本人はどうも苦手なようです。
経営については、自分だけの問題ではないので、
想定できるリスクについては、「ほとんど」ヘッジしています。
なぜ「全部」じゃないの?
想定できないリスクも含めて考えると、
想定できるリスクはすべてヘッジしておかないといけないでしょう!
と考えるのが普通でしょう。
なぜ「ほとんど」なのか。
その答えはお金です。
リスクヘッジにはお金がかかるのです。
保険にはお金がかかります。
防犯対策にもお金がかかります。
ご存知のとおり、ITの世界にかかるコストは非常に高いです。
当然セキュリティにかかる費用はさらに高くなります。
専門性の高い高度な技術者が必要だからです。
どうしても予算に応じた対策しかできなくなります。
生命保険を例に上げれば分かりやすいですネ。
自分が死んだとき、残された家族に多くのお金を残して上げたいと考えますが、月々に支払える保険料には限りがあります。これぐらいあれば足りるだろうという金額を考えて、毎月支払える額で保険を契約するでしょう。
セイキュリティについても同じことが言えます。
スタートアップ時のセキュリティ対策と、大きなお金が動くようになったシステムのセキュリティ対策は、正確も目的も違います。
売上に応じてセキュリティ費用も高くなるでしょう。
◆
気付いたときには遅かった。
そうならないために、今できる対策があるはずだと思うんです。
ウチのブログを読んでくれてる方には、
手遅れにならないうちに、何らかの対策を講じることを強くオススメします。
ウチの業務として、ちゃんと営業しよーかと思ってますw
年間売上数十億円規模のWEBシステムのセキュリティを
ポリシーから面倒見ていた経験もありますし、
数百台規模のサーバセキュリティを担当したこともあります。
ただ、プログラムレベルのセキュリティ対策については、
まだまだ勉強の余地はありますが。
スキーム作りと現場へのレクチャー、運用支援など、
セキュリティコンサルティングはできますので、
一度ご相談してみてください^^
Googleマップの「ストリートビュー」でASENS見っけ
話題のストリートビューでASENSを発見しました。
こんな感じです。
大きな地図で見る
壁面にでっぱりがあるビルの4FがASENSです。
写真と違ってマウスでグリグリ動かしてウォークスルーできるのが便利かなと思って会社のサイトにのっけてみました。
これで迷うことはありません。お気軽にあそびに来てくださいネ(笑)
タガヤっす。
本日の営業先にてとんでもなくムカついたのでエントリ。
ある企画を提案してる会社さんがいて、そことの打合せにて。
他にお付き合いがある会社さんが複数いるらしいのですが、
それ自体はあまり珍しいことではないです。
その付き合いのある某社が、提案先の会社にとんでもない
ツッコミをしてきたらしいです。
「ソコ(ウチ)はセキュリティとか大丈夫なんですか?」と。
オマエんトコが担当したサイト、片っ端から潰したろかゴルァ。
◆
ボクは昔、ハッカーまがいのことをしてました。
クラッカーではなくハッカー。
穴を見つけるのが楽しい、見つけたら終わり。
だからか、セキュリティには昔から興味がありました。
人間の作るものなので、どこかに間違いが潜んでます。
それを見つけ出すのが楽しいと思ってたからです。
パチンコ、パチスロ台の攻略法をこっそり見つけたり、
銀行ATMや金融ATMにもバグはありました。
駅の改札や券売機、テレホンカード式の公衆電話など、
数えればキリがないです。
そんなことをしてるうちに、インターネット登場。
インターネットが一気に普及すると共に、
無防備なサーバがいたずらに構築され続け、
クラックされまくりました。
当時はプロバイダにさえ満足なセキュリティは存在しませんでした。
#メールアカウントを使ってtelnetで接続し、/etcのp(ry
その結果、個人情報保護法なんぞが成立し、
ベンダーはこぞってセキュリティ強化に乗り出します。
しかしちょっと待て、それって遅くねーか?
と、ボクは思うわけです。
2002年夏に、セキュリティに関するセミナーをさせてもらった経験があります。そのときにも言いましたが、
「セキュリティに万全はない」
運用とコスト、想定されるリスクを天秤にかけ、
自社で運用すべきセキュリティポリシーを設定し、
PDCAサイクルで定期的に見直していくということが必要なんです。
◆
その人に是非お聞きしたい。
インターネット上でセキュリティが大丈夫と断言できる状態とは、
どんな状態をさすのかと。
#ポートをすべて閉じるのはナシね。
#サーバとして運用できないのは意味ないでしょ?
みなさんに一言。
自社のセキュリティについてシステム担当者に聞いてみてください。
・具体的な対策をわかりやすく説明でき、現在のリスクを説明できる 80点
・よく理解できないが、かなり熱く説明できる 60点
・小難しい説明に終始する 30点
・大丈夫です!と元気だけいい 0点
・知りません -100点
先に書いたとおり、100点は存在しません。
まずは、現在どんなリスクが存在しているのか、
理解しておく必要があるのではないでしょうか?
あ、ボクで良ければ相談にのりますよw
最近のコメント