ちょき☆ぱたん　お気に入り紹介　(chokipatan.com)

第１部　本

　IT

あなたのセキュリティ対応間違っています（辻伸弘）

『あなたのセキュリティ対応間違っています』2016/10/21
辻 伸弘 (著) )

（感想）
　実際のサイバー攻撃を調査・解析した上で、企業や組織はどう対応したらよいかを教えてくれる本です。
　JTBや年金機構の情報漏洩事件、アノニマス、ランサムウエアなど、世間を騒がしたセキュリティ事件・事故についての概要を知ることも出来て、現実の厳しさを思い知らされました。
　JTBの情報漏洩事件は、JTB側の対応が遅れるように、わざと３連休を狙って攻撃をしかけたのではないかと推察されています。攻撃側は、最も効果的に「隙を狙える」時期を選んでくるんですね……本当に嫌な奴らです（汗）。
　なかでも年金機構の情報漏洩事件では、巧妙な偽メールから、どのように身を護ったらいいのか悩まされました。と言うのも、「標的型攻撃メールの本文には、年金関連の団体がWebサイト内で使用していた実在する文章が使われていた」からです。これを偽物のメールと気づくのは、本当に容易ではないと思います。
　また、年金機構では、個人情報が入っているファイルにはパスワードをかけるルールになっていたようですが、処理が煩雑になるため、実際にはほとんどの職員がパスワードをかけていなかったそうです。これに対して辻さんは、これは職員の個人的な問題ではないと言います。「守れないルールを作り、ルールが守られていないことに気付けていなかった時点で、本来は組織の責任なのです。守れないルールによる運用は、大変危険な脆弱性です」……セキュリティに関するルールは、可能な限り「守りやすい」ルールを設定すべきなのでしょう。
　そして「マルウェアへの感染を想定し、感染した場合の対応方針を組織として事前に準備すること。できれば対応手順を実際に訓練しておく」ことが大事なのだと痛感しました。
　この本は、セキュリティ担当の人だけでなく、経営層や一般人にとっても、（それなりに）分かりやすく最新のセキュリティ事情を説明してくれるので、とても参考になりました。
　システムの脆弱性に対応するために取り組むべきことは、主に次の３つだそうです。
１）使用しているソフトウェアやそのバージョンなどを把握しておく
２）脆弱性情報は複数の報道を見た上で、必ず一次情報を確認する。
３）信頼できるセキュリティ専門家の意見をSNSなどを使って参考にする。
　また、脆弱性情報を収集できるサイトとして、次の３サイトが紹介されていました。
１）Security Focus（脆弱性情報の検索サイト）
２）CVE Details（脆弱性情報をまとめたWebサイト）
３）The Exploit Database（攻撃コードや脆弱なソフトウェアの情報をまとめたWebサイト）
　ITセキュリティというのは、難しいコンピュータ用語・めまぐるしく変わっていく技術情報を追いかけるのが大変な上に、「本業と関係ない」知識や行動を強いられるので、出来れば「誰かに丸投げでお任せしたい」分野です（汗）。
　それでも、犯罪者から身を守るために「大金を持っている時は危険な夜道を一人でふらふら歩かない」程度の常識が求められるのと同じように、今後は、「誰でもITセキュリティの最低限の常識を持っている・行動していく」ことが求められるようになると思います。面倒くさくて本当はイヤなのですが（汗）、今後も、ITセキュリティの動向に注目していこうと思います。
　最後に、誰でも知っておくべき「パスワード設定の３大鉄則」を紹介します。あなたは大丈夫ですか？
１）短い文字列を設定しない
２）名前や生年月日、単語など推測できる文字列を使わない
３）使いまわさない。
　　　＊　　　　＊　　　　＊
　別の作家の本ですが、『プロが教える情報セキュリティの鉄則 ――守り・防ぐ・戦う科学』、『間違いだらけのサイバーセキュリティ対策―目的志向型で実装する効果的なセキュリティ強化策』、『Web担当者のためのセキュリティの教科書』、『ISO/IEC 27017 クラウドセキュリティ管理策と実践の徹底解説』、『実録・サイバー攻撃の恐怖~あなたの“すべて"が狙われている!』、『DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』など、セキュリティに関して参考になる本は多数あります。
　なお社会や脳科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。

Amazon商品リンク

興味のある方は、ここをクリックしてAmazonで実際の商品をご覧ください。（クリックすると商品ページが新しいウィンドウで開くので、Amazonの商品を検索・購入できます。）