オルタナティブ・ブログ > エンタープライズ系エンジニアの小話 >

ここ数年は何かしらのサービスの立ち上げをやっています。技術者の視点だけでなく経営者などの視点を織り交ぜながら色々とお届けします!

もうやめて、無意味なセキュリティ対策3つ

»

未だに常識みたいな感じで捉えられる無意味なセキュリティ対策3つです。

1.添付ファイルのパスワードを別のメールで送信

私もやっています。何故ならばそうした方がセキュリティに気を使っているね、と思われるから。

しかし、これをやるたびに途中の経路で平文になってたら嫌だなー、と思って頭がおかしくなりそうです。

効果的なのはファイル転送サービスなどでファイルを受け渡しするか、全く別の経路(電話とか)でパスワードを伝えることですかね。

2.パスワードの定期変更

定期変更を迫ると多くの人は、複雑性を満たす中で最も覚えやすく単純なパスワードを設定する傾向があるようです。

https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

言われみれば、私もそうで社内システムなどで定期変更を求められると、だんだん面倒になってパスワードが単純化してました。

それだと複雑さを満たしていても辞書攻撃で突破できてしまう危険性が上がるので、無意味ですね。

これの対策は多段階認証を行うこと。こっちの方が遥かにマシです。

3.ポート番号の変更

これをやる気持ちは非常にわかります。

でも、ポートスキャンする時はターゲットのプロトコルを決めてやるので、特定のパケットを送りつけた後のレスポンスを見てどのポートがどのプロトコルに割り当てられているか大体わかります。

ポートを変えることで数秒〜数分の時間稼ぎになるかもしれませんが、所詮その程度。

手軽にできるのはFirewallのポートスキャンのブロックを有効にすることと、IPアドレス制限の組み合わせぐらいでしょうか。

まとめ

昔からある仕組みは大体怪しいと思っていいです。メールとか自分たちがいくら気を使っても途中の経路で平文に戻っているかもしれないし、安心していると痛い目にあうかもしれません。

ただ、誤解していただきたくないのは、IPAなどから出ている対策は効果のあるものばかりです。自らが扱う情報のリスク、対策のコストなどと相談しながら積極的に取り入れた方が良いと思います。

なんにせよ、ちゃんと使われている技術と向き合って妥当性を考えないと、手間だけ増えて無意味だと言いたいわけです。

--

次回は東大襖クラブとお話する機会があり、なかなか面白かったのでご紹介をしたいと思います。(IT関係あります!)

[PR] 当社シンキングリードは新しいメンバーを募集をしています。
http://www.thinkingreed.co.jp/recruit

[PR] 顧客管理、Web請求書システム、コールセンター着信履歴などはF-RevoCRM。
https://f-revocrm.jp/
日本向けに公開された唯一のオープンソースCRM、利用ライセンス無料。

Comment(0)