パスワードを忘れた? アカウント作成
10822 story

セキュリティ、6つのデタラメ 120

ストーリー by Acanthopanax
万能薬はない 部門より

tamo 曰く、 "本家記事で Marcus Ranum のThe Six Dumbest Ideas in Computer Security(6つのダメダメな考え)という記事が紹介されている。多分に意訳だが、

  1. 既定で許可
  2. 問題の数で危険性を計る
  3. ペネトレでバグ出し
  4. クラッキングはスゴいことだ
  5. ユーザ教育
  6. 何もしないよりは何かした方が良い

というリストのようだ。他にも細かな点として

  • 俺が狙われてるわけじゃないから。
  • みんな○○を使えば安全になるのになぁ。
  • ファイアウォールは不要。ホストが鉄壁だもん。
  • ホストのセキュリティなんて気にしなくていい。ファイアウォールが鉄壁だもん。
  • 出荷しちまえ。あとで直せばいいんだ。
  • 偶発的な問題は避けようがない。

といった dumb ideas が挙げられている。" (つづく)

"理由も説明されているので原文をご覧いただきたいが、適当に要約すると、

  1. 既定で許可: じゃあ禁止すべき危険をすべて知っているのかい?
  2. 問題の数: 全部でいくつあるか知ってるの? これは 1 と同じだ。それより、設計にどれだけ良い点があるかを数えるべきだよ。
  3. ペネトレーション・テストで問題をあぶり出して修正: 漏れがないって言うの? セキュリティは、脆弱性があった場合のハンドリングも含めた堅固な設計によってのみ得られるのだよ。
  4. クラッキング手法を良く知るべき: そのためにクラッカーの書いた本を買ったりするのか? クラッキングは技術的というより社会的な問題なのだから、そうやってクラッカーを暗に賞賛してはいけない。具体的な攻撃方法より、攻撃を許す脆弱な設計について知る方が有益だろ。
  5. ユーザ教育こそ唯一の解決策: アレはダメ、コレもダメって、ぜんぶ教えるの? これまた 1 と同じじゃん。
  6. 何もしないよりはした方がマシ: 人間とは、正しいことより間違ったことをしやすいもの。まず「ダメダメなことをしない」ために予算を使ったほうがいいよ。

ということのようだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ごめんなさい (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2005年09月14日 6時03分 (#798752)
    >出荷しちまえ。あとで直せばいいんだ。
    もう二度としませんorz
    • by Anonymous Coward on 2005年09月14日 9時03分 (#798797)
      某大手PC工場では「後で直すときに膨大な金がとれるじゃないか。さらにそのときに『今後のために(超高額で永年の)保守契約を結んでください』って言えるんだ。いいからそのまま出荷しろ!」っていう声が聞こえてるとか…
      保守契約がなければ現地原因調査だけで約三万円ですよ。その後一旦帰社して、パーツを発注。そのパーツ代が”メーカー設定のボッタクリ定価”で実費、修理訪問でまずまた問答無用で三万。工賃で数万…
      #もちろんAC
      親コメント
      • by bldbrrrw (20638) on 2005年09月14日 13時15分 (#798923) 日記
        当然でしょう。慈善事業しているんじゃないんですから。

        (実働じゃなく待機・教育とかも含めて)原価計算+利益を考えて保守契約の
        価格設定して、その保守契約と釣り合うようなスポット料金が設定される。

        何かおかしな点はあるんでしょうか?
        親コメント
    • なんだか、「電源を止めることが最高のセキュリティ」って
      せりふを彷彿とさせますね。
      親コメント
  • by tnk (13707) on 2005年09月14日 8時43分 (#798788)
    高木センセが同じようなリストを作ってますね。

    「やってはいけないセキュリティ設定指示 Top 15」 [takagi-hiromitsu.jp]
  • by ruto (17678) on 2005年09月14日 8時00分 (#798769) 日記
    「みんな○○を使えば安全になるのになぁ。」
    はより詳しく言うと
    「みんな<今流行りのセキュリティシステム>さえ使えば安全になるのになぁ。」
    という感じで、
    「OSのセキュリティ上の問題はOSが複雑すぎるのとシステム管理の問題をコンピューターを使っても解決できてないから起きる。誰かがシステム管理の問題をなんとか解決するその日まで、システムを流行り物に変えたりするとシステム管理者が時間によってしか得られない経験を積みにくくなるから余計に有害だよ。」
    という感じらしい。
    小手先の流行りのセキュリティシステムよりもシステム管理者の経験の方が大事だからシステムをころころ変えるな、技術は枯れてから使えということらしい。

    とはいえ時代遅れのシステムをシステム管理者の経験に頼って使い続けるのも良くないかと。この世でいちばん大切なコトはやっぱりタイミングということでしょうか。
  • 具体的な攻撃方法より、攻撃を許す脆弱な設計について知る方が有益だろ

    これには同意できないなぁ。具体的な攻撃方法を知らなければ、攻撃を許す脆弱な設計になっているかどうかを知る事ができないじゃんか。
    --
    屍体メモ [windy.cx]
  • by Anonymous Coward on 2005年09月14日 6時48分 (#798756)
    > 偶発的な問題は避けようがない。

    これはどのように対処すればいいんですか?
    • by SaySet (18192) on 2005年09月14日 9時05分 (#798798) 日記
      マーフィの法則ですな。
      「問題はいつか出るから、そのつもりでいろ」ってことかな。

      リスク管理ということもあるし、メンテナンス体制ということもあるし。
      場合によっては補償問題や訴訟問題もあるでしょうね。

      「うちはISOとってるし、ちゃんとテストもやってるんだから
       そんなの大丈夫ですよ~」
      とかって思考停止しちゃうのが最悪なわけで。

      # みてるか?>うちの上司orz
      親コメント
    • by TameShiniTotta (19794) on 2005年09月14日 7時27分 (#798761)
      ちゃんとリスク予測してるか?ってことじゃないかな。
      偶発的ということは裏を返せば起きる可能性がある(予測可能)ってことで、
      そこにリスクを積まないのは積まない人が悪いんだよね(理想論としては)。

      考えられる全ての要素(天変地異を含めて)を洗い出して、
      その1つ1つに対して回避策を提示してるか?
      それをちゃんと検証しているのか?って話かと。
      親コメント
      • Re:マジレス希望です (スコア:2, すばらしい洞察)

        by yasuchiyo (11756) on 2005年09月14日 8時37分 (#798784) 日記
        > 考えられる全ての要素(天変地異を含めて)を洗い出して、
        > その1つ1つに対して回避策を提示してるか?

        つ【1. じゃあ禁止すべき危険をすべて知っているのかい?】

        …堂々巡りになりそうですね。
        親コメント
      • by deleted user (19654) on 2005年09月14日 12時27分 (#798884) ホームページ 日記
        そういうことだと思います。
        原文では確か

        「偶発的な事故はどうしようもありません」なんていう航空会社の飛行機に乗らないだろう?

        とか書いてあったと思います。
        「どうしようもない」とか言わずにリスクを管理すべきってことなんですかね。
        親コメント
      • by raf (9322) on 2005年09月14日 14時10分 (#798949) 日記
        そういうことじゃなくて、「”想定外の事態”が発生した」というケースについて、
        検証をしなさいって言うことだと思う。

        考えうるメジャーな事態への対応策を充実させるのもいいけど、
        もっと大雑把な対応って言うのも作らないといけない。

        だってほら、周りにいるでしょ?
        規則に書いてないからダメ、とか。
        マニュアルどおりにやってればいいんでしょ、とか。
        そういう事を言う人。
        --
        -- 星を目指さない理由は何もない -- 「MISSING GATE」by 米村孝一郎
        親コメント
  • 基本は deny (スコア:1, 興味深い)

    by Anonymous Coward on 2005年09月14日 10時12分 (#798825)
    > 5. ユーザ教育こそ唯一の解決策: アレはダメ、コレもダメって、ぜんぶ教えるの? これまた 1 と同じじゃん。

    1.と一緒でやっていいことだけ教えて、他は全部やってはダメと言えばいいんじゃないの?
    • Re:基本は deny (スコア:2, すばらしい洞察)

      by rona (9232) on 2005年09月14日 11時21分 (#798858)
      それが完全に守られることをアテにできない、ということではないでしょうか。
      『基本は deny』は、人間がやるべきことではなくてシステムにやらせること、ということかと。
      親コメント
  • by Anonymous Coward on 2005年09月14日 11時59分 (#798870)
    原文 [ranum.com]はこうなってる。
    #4) Hacking is Cool

    Wrong! "Hacking is Cool" is a really dumb idea.

    それが、タレコミでは
    4. クラッキングはスゴいことだ
    に変えられてる。かなり意味を捻じ曲げてるよね。
  • by OKSoft (27172) on 2005年09月14日 18時14分 (#799038) 日記
    >ダメダメな考え方
    >クラッキングはスゴいことだ
    それ言われると私の日常生活に支障が出る。
    #Ese hacker?No.Ese kracker.OKSoft;But I am junior.
  • > 俺が狙われてるわけじゃないから。

    これは無いと知れ。;-;

    別にWindowsに限った話では有りませんが、
    優先的に狙われているのもやっぱり事実だと思うので・・。

    Windowsの場合、敢えて対策を施そうとするユーザーさんが
    少ないのも要因でしょうか?
    対策さえしていれば、広がらなかったwormとかも多いデスよね;-;

    同じ様な理屈でIEを利用しているだけで・・とか。
    言い出したらキリ無いですね^^
    • by Anonymous Cowerd (24277) on 2005年09月14日 23時40分 (#799172)
      別にWindowsに限った話では有りませんが、 優先的に狙われているのもやっぱり事実だと思うので・・。

      優先的に狙われているわけではないと思いますよ。 狙う奴(ツール、ワーム、感染マシン)が多いってだけです。

      インターネットのグローバルIPな環境を持っていて、どのような パケットが飛んでくるのか把握している人なら分かっていると 思いますが、Windowsを狙ったパケット以外も多く観測されます。

      Windows、IE、OEを使っているだけで危険とかいう言葉は、該当しない人に安全であるという誤解を与えるだけですね。
      まだ聞いたことはないですが、安全に使えている人がわざわざ脆弱性もちの別のアプリケーションに乗り換えてしまうことで、かえって危険な状態になることも、今後出てくる可能性があります。
      いずれにしろ、賢明な人は使わない台詞だと思いますよ。

      外部から完全に隔離された環境で無い限り、狙われてると思ったほうがいい。
      親コメント
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...