 |
| セキュリティ |
セキュリティって・・・
先日、とあるセキュリティの勉強会に参加してみたのですが、勉強会自体は素晴らしかったものの、とある参加者の意識の低さにびっくりしてしまいました。
セミナーの内容に関する質問をするのはいいと思うのですが、割に具体的なことまで踏み込んで話し、セキュリティ担当者が守るべき情報を垂れ流すような事態が起きていました。
ざるだったセキュリティ担当者のセキュリティ
相当知識に自信を持っておられるような話し方をされていたので、まあそれはそれは素晴らしい技術者だろうと考え、試しにその人について調べてみる事にしました。
まず、その方は、社名とお名前を名乗って質問されていたので、試しにいくつかの方法で検索をかけるとすぐにご本人が引っかかりました。そこから派生的にご担当の職務、会社での粗方のポジションなどなど、複数の重要な情報がわずか数分で手に入りました。
悪意をもってさらに踏み込んでソーシャルエンジニアリングをかけていたら、おそらく1時間もしないうちに、より多くの情報を仕入れる事ができ、最終的にAPTのトリガを仕掛けるだけの十分な種が拾えたはずです。
例えば、その方の会社のメールアドレス割当傾向さえつかめれば、いくつかのメールアドレスを試す攻撃を大した時間もかけずに行う事が出来ます。
大体、その会場に競合会社の人間がいないとも限りませんし、案件の奪取を狙っている担当者がいるかもしれません。優秀なエンジニアであれば、お客様のステークホルダー、ニーズ、ウォンツ、シーズについての調査は欠く事がありませんし、常に最新の状況を何らかの方法でキャッチアップしています。
一生懸命暗記した知識をみんなの前でひけらかしたい気持ちもわからなくはない(僕はわかりません)ですが、それでは結局本質としてのセキュリティを理解しておらず、暗記物の漢字ドリル程度の知識でしかないと思うのです。
セキュリティ担当者の方は、ぜひともご自分がセキュリティホールにならないよう、注意したいものですね。
0 件のコメント:
コメントを投稿