2021/05/10

欺術~気になるワード集~


2003年に初版発行の本だが、書かれている内容は2021年でも通用するものも多く、テクノロジーが進化しても「人」の部分はあまり変わらないのだなと気付かされる。

移行、読んでいて気になった部分を記載してみる。

第1部 騙しの楽屋裏

第1章 セキュリティのウィーケストリンク

  • アルバート・アインシュタインはこう言った「無限なものは二つしかない。それは宇宙と人間の愚かさだ。ただし、宇宙はもしかして有限かもしれないが。」 

  • セキュリティは製品ではない。それはプロセスである 

  •  セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。

第2部 犯行の手口

第2章 無価値な情報の価値

  • 社員番号のような、簡単に外部に知られてしまう情報を、認証のための情報として使ってはならない。社員は情報を請求するとき、本人性を証明するだけでなく、情報を必要とする正当な理由を報告しなければならない。  

  •  外部者から質問を受けたり、情報を求められたときには、とりあえず丁寧に断ること。そして、要求の正当性と合法性が確認できたときに、あらためて、情報を提供するようにすること。 

 第3章 直接攻撃:ただ「それをくれ」と言うだけ

  • セキュリティ教育訓練には、次の点を盛り込まなければならない。電話をしてきた人間や訪ねてきた人間が、会社の人間の名前や、会社内の専門用語や、業務の手順などを知っていたからといって、その人間が自称する本物の当人であるとは限らない。 

  • セキュリティ教育の極意は、疑え!そして、一に確認、二に確認、三に確認、四にも五にも確認だ! 

第6章 「助けてください。」

  • キャンディ・セキュリティ(Candy Security):外側はファイアウォールなどで堅固に守っているが、その内部のシステム基盤が脆弱なネットワークのこと。このキャンディは、M&Mのチョコレートキャンディを指し、そのこころは、「外側が硬くて中が柔らかい」 

  •  スピークイージー・セキュリティ(Speakeasy Security):情報がどこにあるかという知識は一応秘密にされているが、その知識が分かればだれにでもアクセスできてしまうセキュリティ。コンピューターシステム上のある情報に、簡単な言葉や名前を使ってアクセスできる状態。 

  • 何かを求めてきた人物の本人性を確認するための、一つの良い方法は、その人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。

  •  会社の業務手順や専門用語を知っていることは、本物の社員であることの証拠にはならない。どんなに本物らしく聞こえても、必ず正式な確認検査が必要である。

第3部 侵入者への警戒

第10章 建物への侵入

  • ごみに対して意識的になる

機密情報を機密性の程度に基づいて分類する

機密情報を捨てる場合の捨て方を全社的に規則化する 

 機密情報はすべて、シュレッダーにかけてから捨てることを義務化する。

シュレッダーに掛からないような小さな用紙の使用は禁止する。

外部記憶媒体(光学メディア、テープ、HDD)を捨てる際は、データを完全に消すか、使用不可能な状態にしてから捨てるべき

コンピュータ上でファイルを”削除”しても、データは消えないことに注意する。 

 会社の清掃をする人々に対しては、身元調査をすべきである。 

  •  辞める社員への対策

機密情報へのアクセス権を持っている社員が辞めるときに、情報部門~セキュリティ部門がとるべき手順手続きを、細かく具体的に定めておくこと。

退社した人物が物理的に会社の建物を去る前に、その人物のコンピュータへのアクセス権を停止すること(悪用の防止) 

辞めた社員と同じワークグループに所属する社員は全員、パスワードを変えるべきである(とくにその人物がクビになった場合)