8月 07

この記事をブックマークする : このページをはてなブックマークに追加 このページをLivedoorクリップ! このページをニフティクリップに登録 newsing it! このページをdel.icio.usに登録 このページをBuzzurlにブックマーク

タガヤっす。

最近WEBプログラマで人気の高いフリーの脆弱性スキャナをご紹介しておきます。
ボクは要件によってツールを使い分けています。
必要であれば、経験に基づいたメソッドも用いることがあります。

あ、調べてたらまとめサイトがあったので。

http://security.c-inf.com/index.php?VulnerabilityAssessmentTools

見て勉強してください。

情報が漏れないようにする仕組みも大事ですけど、
漏れても大丈夫な仕組みにしておくのも重要です。

絶対に漏れない保証ができないのであればこそだと思います。

サーバはペネトレーションテスト、
アプリはスキャナ。
DBもスキャナ。

これでも完璧にはできないんだから。
ここまでしてる会社をオレは知らんけどネ。

ちなみに。
経営者のセキュリティに関する危機感を煽ってる営業がいます。
以前のエントリで書いた

・ ファイヤーウォールは必須です!
・ IDSが無くては犯人を特定できません!
・ ウィルス対策は万全ですか?
・ データを暗号化しましょう!
・ 個人情報の保護は万全ですか?(これはオレが経験した)

こういうことをウリにする会社は信頼できんよ。

ボク、ファイアウォールを運用しないサーバ構成の方が経験が多いですし、IDSはあった方がいいですけど防止にはなりません。サーバにウィルス対策が必要ない会社もあります。(アクティブディレクトリなどでクライアントを一括で管理するなど)

なにより、セキュリティに万全はないっ!
セキュリティポリシーを設定する方が何倍も重要。

例えば、御社のスタッフが顧客リストを持ち出すとか。
従業員の方への指導と意識改革の方が重要です。

そこからがスタートと言っても過言じゃないです。

あるとき、外注の方が何の断りも無く、当時所属していた会社のPCにUSBメモリを挿しました。ウチの技術者はその行為を問題だと認識しなかった。こっちの方が問題なのですよ。
もちろん外注の方には、理由を述べて丁重にUSBメモリ使用のお断りを入れ、中身を検閲させてもらいました。
そして技術部へのセキュリティに関する教育がはじまりました。

今ではとてもいい思い出ですw

この記事をブックマークする : このページをはてなブックマークに追加 このページをLivedoorクリップ! このページをニフティクリップに登録 newsing it! このページをdel.icio.usに登録 このページをBuzzurlにブックマーク

Comments are closed.