ブロガーミーティング：正しい攻撃的セキュリティの視点

土曜日に書いてますが、金曜日の分にUPしておきます。
昨晩はオルタナミーティングで、講師は新倉さんです。「正しい攻撃的セキュリティの視点」というお題で、情報セキュリティの専門家ならではのお話しが聞けました。話の持って行き方もさすがに上手で、うまいこと引き込まれてしまいます。

私も引っかかりそうになったのが、安全なパスワードの考え方の話の途中で、「小俣さん、どんなパスワードが良いですかねぇ？」と質問され、結構真面目に「mkpasswdで作るのが良いのでは？」と答えてしまいました。

まあ、mkpasswdはランダムなパスワードを自動生成してくれるコマンドなので、問題が無いとも言えますが、そうやって言葉巧みに相手のパスワードそのものやヒントを得るというのは良くある手法で、それに引っかかってしまうところでした。

情報セキュリティはどれだけシステムでガードしても、結局最後は人です。人という側面には二つの面があり、教育がしっかり行き届いているかどうかということと、そもそも情報を大事にしようと思っているかどうかという点です。教育はがんばればできますが、思いはいくら指導しても変えられないものです。仕事や会社、人間関係に不満を持っているといくらでも悪事を働くことができてしまうものです。悪意を持っている内部の人でも盗めないようなシステムを作ることもがんばればできるかも知れませんが、それはおそらく運用が非常に面倒な状態になることでしょう。

情報セキュリティ、まずは人から、というのがポイントだと思います。