« 始祖鳥は鳥か恐竜か | トップページ | 安定システムの難しさ »

2013年7月 1日 (月)

セキュリティ管理の難しさ

Kyo0107_2

かつてはウイルスに苦しめられましたが、インターネットの世界は遥かに難しい事になっています。ウイルスチェックは必須ではありますが、それだけでは不十分です。

 

さてまず私たちが守らなければいけない個人情報って何でしょう。個人情報で盛り上がっていますが、個人情報のすべてが重要ではありません。住所なんて尾行されればわかりますし、電話番号も大した情報ではありません。守らなければいけない銀行口座、クレジット・カードなどお金にかかわる情報、病歴など職業選択に影響する情報などです。トレード可能な有料コンテンツなども該当しますね。企業はもっと大変、人事情報、会計情報、サーバーの操作、これらは死守しなければいけません。しかし世の中は情報の一部を取るのではなくパソコン自体が乗っ取られたり成りすまして個人の信用を失わせたりする世の中になりました。例えば工場でサーバーの操作が乗っ取られれば工場を遠隔で爆破する事だってできるのですから。まあ大工場はネットワークにつながっていない安全システムを持っているので大丈夫とは思いますが。

Kyo0102_2

ここでは「乗っ取り」について考えてみましょう。パソコンはともかく、サーバー操作は基本的にリモートアクセスが原則です。担当者はサーバー室に入って操作するのではなく、自分の机のパソコンから、もしくは緊急時対応の時には自宅から遠くにあるサーバーを操作します。つまりアドレスとIDとパスワードがわかればサーバーには入れるのです。アドレスは残念なことに一部に企業名が入ることが多いので解読は容易です。個人IDを盗んでもあまり意味がありません。攻撃する人はAdministrator IDを狙ってきます。これも困ったことに企業名、一般名詞、通し番号などで構成されている場合が多く、比較的簡単にわかってしまいます。最後の砦はパスワードなのですが…。

Kyo0109_2

問題はパスワードです。皆さんはどのように管理されているでしょうか。覚えるのが面倒なので複数のパソコンで似たようなパスワードにしていませんか?企業で重要なパスワードは自動パスワード生成プログラムを使っているはずですが、Administratorは最後の砦なので人が設定する場合もあるのです。しかも定期的な変更は最後の一桁を1ずつ足すというような変更をする場合が多い。システムエラーになるので定期的な変更さえできない場合も多いのです。つまり一番強力なIDのパスワードが一番弱いという場合があるのです。このAdministrator IDを盗まれてしまうと終わり、もう何でもできてしまいます。個人情報取り放題、口座情報取り放題。サウジアラビアの2つの大企業がこの手法にやられすべてのパソコンが壊されたという事件がありました。企業がどんなセキュリティ改善努力してもAdministrator IDがあれば何でも見えてしまいます。

Kyo0108_2

日本の企業では企業ごとにセキュリティ管理の考え方が大きく違います。本気で考えている企業もあれば「セキュリティって何?」みたいな、ウイルスチェックソフトさえ導入しないシステムを持ってくる企業もあります。攻撃者は小さな穴があればそこから乗り込んできます。たった一つの穴からすべてが破壊できます。インターネットがある以上個人と企業の情報を守ることは永遠の追いかけっこです。Windowsがバージョンアップするので、セキュリティが強化される一方で、そのたびに新しい小さな穴ができて大変です。

 

« 始祖鳥は鳥か恐竜か | トップページ | 安定システムの難しさ »

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 始祖鳥は鳥か恐竜か | トップページ | 安定システムの難しさ »

フォト
無料ブログはココログ