自称「情強」はセキュリティ意識が甘い、と感じる。

こんばんは。
今日の記事は前回の続きであります。

*情弱の対義語として、情報強者を省略した「情強」という言葉を以下用いますが、彼らはセキュリティの面においては、弱者に等しいと言わざるを得ないと考えています。以上。

セキュリティというのは、一つの「層」では完結しない。ディベロッパー(開発者、ISV)、ユーザー、管理者の三者が共同で取り組むことにより、本当のセキュリティを実現できると考えます。
ウイルス対策というのは一つの「層」に過ぎないわけで、それ自身で完結するモノではないと考えます。

彼らに問いたい。
セキュリティ更新プログラムは全て適用されているのでしょうか。
ローカルセキュリティポリシーは適切に構成されていますか。
パスワードは適切に構成・運用されていますか。
資格情報はどのような形で保管されていますか。
セキュアな通信を心がけていますか。
情報漏洩対策は大丈夫ですか。
ハードウェアセキュリティは大丈夫ですか。
セキュリティ監査は実行されていますか。
通信経路における改竄検出性・真正性の確保に努めていますか。

こうしたセキュリティは、相互補完的に作用します。
一つの層では突破されてしまうセキュリティを、複数以上の層で保護・補完する。
これが、マイクロソフトのいう「多層防御」な訳です。

情強の人は、パッシブなセキュリティ(セキュリティ更新プログラムの適用など)は(それなりに)適切に構成されていますが、アクティブなセキュリティ(保護すべきリソースの切り分け、不必要な機能の切り捨てによるシステムの保護、積極的な脆弱性診断)は適正に構成されている場面を見たことがありません。

セキュアなシステムの構築には、まず、Plan(策定)が必要になります。その上で、Do(実行)し、Check(監査)し、問題点をフィードバック(Act:改善)することが肝要となります。

Plan-Do-Check-Actサイクルの中でも、Planサイクルにおいては、”保護すべきリソース”の切り分けが必要になります。
ハードウェア的なセキュリティ(ケンジントンロック等の設置など)、ソーシャルなセキュリティ(侵入者対策、セキュリティ教育等)、ソフトウェア的なセキュリティ(脆弱性排除、機能の切り分け、資産評価、暗号化など)という分け方でいいと思います。

私たちはプロですから、ある程度のセキュリティ意識はあります。
しかし、怖いのは、情強だと思って、プロを軽んじ、セキュリティシステムの多層化をしない、愚か者たちであります。

*この記事はエンドユーザ向けの記事でないと、書き上がってから気付いた。しばらく続くかと思います。
*自宅環境はエンドユーザと一緒なんですが、何故こうなる…。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中