アンチウイルスの考案者からの提言:セキュリティ部門は無駄な時間を割いている 23
最弱ポイントが全体を支配する 部門より
あるAnonymous Coward 曰く、
(つづく)本家のストーリより。ICSAラボのチーフ・サイエンティストであり、ノートンアンチウイルスの前身の世界初の商用アンチウイルスプログラムの開発者であるピーター・ティペット氏はセキュリティ業界の現状に関する興味深い意見を明らかにした。端的にまとめるとセキュリティ部門が行っている仕事の1/3程度は時間の無駄だと彼は警告する。また、彼は現在のセキュリティ部門がベストプラクティスとしている脆弱性調査およびパッチ、パスワードの強化、製品評価プロセスなどの事例に体系的に対し切り込んだ意見を述べている。
「ハッカーが1万のマシンを持つ企業のパスワードファイルに侵入するとする。彼がネットワークに侵入するにはたった1つのパスワードを解きあてればいいだけだ。この場合、パスワードの強化を行っていたとしても、パスワードをクラックできる可能性があるマシンが5000から2000になったことかもしれない。しかし彼はたった1つのパスワードさえ手に入れればいいだけなのだから、パスワードの強化を導入することに実際どんな利益があったと言えるだろうか?」
彼の主張のいくつかは確かに議論の余地もあるが、同時に多くの真実も含んでいるといえるだろう。本家では、「ソフトウェア/ハードウェアのセキュリティは達成するのはそんなに難しいことではない。有能な管理者がいればラボのワークステーションをかなり堅いセキュリティで、かつバグフリーでクリーンな状態で稼動させることは簡単だろう。問題はたいていおバカなヤツが巧みなソーシャルハッキングの標的になるというとこにある。会社はその一番弱い部分以上の強さにはなれない、ということだね。」という話も出ている。
桶のどこかが欠けてたらそこまでしか水たまらない (スコア:4, すばらしい洞察)
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, すばらしい洞察)
Re: (スコア:0)
#煽り話でも10000ものマシンをクラッカーの目の前に晒していたり、パスワードデータベースを一点に集める運用するなんてしないでしょ・・。
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, おもしろおかしい)
Re: (スコア:0)
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, 興味深い)
人員管理が最大のセキュリティなのでしょうけど、大企業は難しいかもしれませんね。
Re: (スコア:0)
# 次は桶を壊す人を入れない対策をしないと
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:3, おもしろおかしい)
Re: (スコア:0)
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, おもしろおかしい)
それ何て駄洒落 (スコア:1)
#おあとがよろしいようで
Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1)
鎖全体の強度が一番強度が低い箇所で決まってしまうという。
"低いところ"の強化も大事ですが、それでもやはり一番低いところは存在するわけで、万が一それが破られても被害が全体に及ぶことがないような仕組みが必要なんだと思います。
と同時にstrongestであるべき部分が全体を支えている構造でも、そこが狙われればそれこそ全体的に終わりという話でもあるので…
なんとも難しいですね。セキュリティって。
今度は何の宣伝? (スコア:2, すばらしい洞察)
Re:今度は何の宣伝? (スコア:4, 参考になる)
費用対効果を考えましょう (スコア:1)
# 上からのお達しで変なところにばかりお金がとんでいくのは最悪ですな。
旅に出ます.(バグを)探さないで下さい.
Re: (スコア:0)
Re:費用対効果を考えましょう (スコア:1)
旅に出ます.(バグを)探さないで下さい.
ノートンっつったら (スコア:1)
と思ったら、ノートンのピーターはユーティリティの方で、アンチウィルスの
開発者がこのティペットの方のピーター、ということみたいで。
ノートンって名前だとティペットの方が知られないから、両者にいいように
製品名をピーターに名前変えたほうがいいね<いやよくねえって
えっ!? (スコア:1, おもしろおかしい)
なんて思ったのは俺だけ?
うわあああああああ (スコア:2, おもしろおかしい)
Re:えっ!? (スコア:1, おもしろおかしい)
無駄な時間とは、
バグを作る時間と、報告書を書く時間と、顧客に頭を下げる時間と、
それに寝る時間と飯を食う時間かな?
これで一日の大半が消えてしまう職場環境など、想像できるけどしたくないな。
分かってるのか?貴様のせいだ (スコア:0)
>パスワードの強化を導入することに実際どんな利益があったと言えるだろうか?」
おまえのせいでそうさせられているのにそんな事を言っているのはこの口か!
Re:分かってるのか?貴様のせいだ (スコア:1)
いや口がたくさんあるのでその口をふさいでも...