第1部 騙しの楽屋裏
第1章 セキュリティのウィーケストリンク
- アルバート・アインシュタインはこう言った「無限なものは二つしかない。それは宇宙と人間の愚かさだ。ただし、宇宙はもしかして有限かもしれないが。」
- セキュリティは製品ではない。それはプロセスである
- セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。
第2部 犯行の手口
第2章 無価値な情報の価値
- 社員番号のような、簡単に外部に知られてしまう情報を、認証のための情報として使ってはならない。社員は情報を請求するとき、本人性を証明するだけでなく、情報を必要とする正当な理由を報告しなければならない。
- 外部者から質問を受けたり、情報を求められたときには、とりあえず丁寧に断ること。そして、要求の正当性と合法性が確認できたときに、あらためて、情報を提供するようにすること。
第3章 直接攻撃:ただ「それをくれ」と言うだけ
- セキュリティ教育訓練には、次の点を盛り込まなければならない。電話をしてきた人間や訪ねてきた人間が、会社の人間の名前や、会社内の専門用語や、業務の手順などを知っていたからといって、その人間が自称する本物の当人であるとは限らない。
- セキュリティ教育の極意は、疑え!そして、一に確認、二に確認、三に確認、四にも五にも確認だ!
第6章 「助けてください。」
- キャンディ・セキュリティ(Candy Security):外側はファイアウォールなどで堅固に守っているが、その内部のシステム基盤が脆弱なネットワークのこと。このキャンディは、M&Mのチョコレートキャンディを指し、そのこころは、「外側が硬くて中が柔らかい」
- スピークイージー・セキュリティ(Speakeasy Security):情報がどこにあるかという知識は一応秘密にされているが、その知識が分かればだれにでもアクセスできてしまうセキュリティ。コンピューターシステム上のある情報に、簡単な言葉や名前を使ってアクセスできる状態。
- 何かを求めてきた人物の本人性を確認するための、一つの良い方法は、その人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。
- 会社の業務手順や専門用語を知っていることは、本物の社員であることの証拠にはならない。どんなに本物らしく聞こえても、必ず正式な確認検査が必要である。
第3部 侵入者への警戒
第10章 建物への侵入
- ごみに対して意識的になる
機密情報を機密性の程度に基づいて分類する
機密情報を捨てる場合の捨て方を全社的に規則化する
機密情報はすべて、シュレッダーにかけてから捨てることを義務化する。
シュレッダーに掛からないような小さな用紙の使用は禁止する。
外部記憶媒体(光学メディア、テープ、HDD)を捨てる際は、データを完全に消すか、使用不可能な状態にしてから捨てるべき
コンピュータ上でファイルを”削除”しても、データは消えないことに注意する。
会社の清掃をする人々に対しては、身元調査をすべきである。
- 辞める社員への対策
機密情報へのアクセス権を持っている社員が辞めるときに、情報部門~セキュリティ部門がとるべき手順手続きを、細かく具体的に定めておくこと。
退社した人物が物理的に会社の建物を去る前に、その人物のコンピュータへのアクセス権を停止すること(悪用の防止)
辞めた社員と同じワークグループに所属する社員は全員、パスワードを変えるべきである(とくにその人物がクビになった場合)
第4部 守りを固める
第15章 セキュリティの自覚と教育訓練
ソーシャルエンジニアたちが利用する”人間性の六つの弱さ”
- 権威に弱い
人間には地位や権力などの権威を持っているものからの要求に従う傾向がある。ソーシャルエンジニアは、会社のIT部門の者、重役、あるいは重役の下で仕事をしている者である、などと名乗って、社員をだまそうとする
- 好き嫌いに弱い
人間は、感じの良い人物からの要求や、関心や信念や態度などが自分と同じ人物からの要求に従う傾向がある。ソーシャルエンジニアは、会話を通じて、被害者の趣味や関心対象を聞き出し、自分もそれと同じ趣味や対象に熱中している、とホラを吹く。
- お礼に弱い
人間は”お礼に何々するから/あげるから”というタイプの要求に、自動的に従う傾向がある。社員はIT部門の者だと名乗ろソーシャルエンジニアからの電話をもらう。ソーシャルエンジニアは、会社のコンピューターの一部がウイルス対策ソフトで認識できない新しいウイルスに感染した、と告げ、その対策を社員に親切に教えた。それに続いてソーシャルエンジニアは、ユーザーがパスワードを変更するためのプログラムを最近アップグレードしたので、ちょっと試してみてほしいと社員に頼む。その社員は、ウイルス対策を今教えてもらったばかりの人物からの頼みをなかなか断れない。社員は、ソーシャルエンジニアの頼みを聞き入れることによって、お礼をした。
- 約束に弱い
人間は、ひとつのものごとに自分が積極的にかかわったり、肯定的な意思表示をした場合に、そのものごとに関連するその後の要求をなかなか断れない傾向がある。
- 横並び社会に弱い
人間は、その要求を聞き入れたら自分もほかの人たちと同じになる、横並びになる、と感じた要求には従う傾向がある
- 希少性に弱い
人間は、供給量が少ないものを入手したいがために競争する。また、賞品が、一定の短期間しか入手できないものだと、検証に熱心に応募しがちだ。