アンチウイルスの考案者からの提言：セキュリティ部門は無駄な時間を割いている

アンチウイルスの考案者からの提言：セキュリティ部門は無駄な時間を割いている 23

ストーリー by nabeshin 2008年02月12日 12時30分
最弱ポイントが全体を支配する部門より

あるAnonymous Coward 曰く、

本家のストーリより。ICSAラボのチーフ・サイエンティストであり、ノートンアンチウイルスの前身の世界初の商用アンチウイルスプログラムの開発者であるピーター・ティペット氏はセキュリティ業界の現状に関する興味深い意見を明らかにした。端的にまとめるとセキュリティ部門が行っている仕事の1/3程度は時間の無駄だと彼は警告する。また、彼は現在のセキュリティ部門がベストプラクティスとしている脆弱性調査およびパッチ、パスワードの強化、製品評価プロセスなどの事例に体系的に対し切り込んだ意見を述べている。

（つづく）

「ハッカーが1万のマシンを持つ企業のパスワードファイルに侵入するとする。彼がネットワークに侵入するにはたった1つのパスワードを解きあてればいいだけだ。この場合、パスワードの強化を行っていたとしても、パスワードをクラックできる可能性があるマシンが5000から2000になったことかもしれない。しかし彼はたった1つのパスワードさえ手に入れればいいだけなのだから、パスワードの強化を導入することに実際どんな利益があったと言えるだろうか？」

彼の主張のいくつかは確かに議論の余地もあるが、同時に多くの真実も含んでいるといえるだろう。本家では、「ソフトウェア/ハードウェアのセキュリティは達成するのはそんなに難しいことではない。有能な管理者がいればラボのワークステーションをかなり堅いセキュリティで、かつバグフリーでクリーンな状態で稼動させることは簡単だろう。問題はたいていおバカなヤツが巧みなソーシャルハッキングの標的になるというとこにある。会社はその一番弱い部分以上の強さにはなれない、ということだね。」という話も出ている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索23コメント Log In/Create an Account

桶のどこかが欠けてたらそこまでしか水たまらない (スコア:4, すばらしい洞察)

by ssig (24308) <{ssig33} {at} {gmail.com}> on 2008年02月12日 12時43分 (#1295362) ホームページ

水は低きに流れるわけで、「一番高いところをもっと高く」よりは「一番低いところをどうにかする」のほうが効率的なのかもね。
- Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, すばらしい洞察)
  
  by Anonymous Coward on 2008年02月12日 12時57分 (#1295371)
  
  桶を防水隔壁で仕切っておけば、たとえ一番低いところが漏れても他のセルはまだ持ちこたえるかもね。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    社内ネットワークをローカルネットに分離して防火壁立てればいい話よね。
    ＃煽り話でも10000ものマシンをクラッカーの目の前に晒していたり、パスワードデータベースを一点に集める運用するなんてしないでしょ・・。
- Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2008年02月12日 18時01分 (#1295663)
  
  一番弱いところをどうにかする提案は一番通りにくい提案だから非効率です。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    その一番弱いところが提案しているところだったりするので、よけい話がややこしくなるのです。
- Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, 興味深い)
  
  by Anonymous Coward on 2008年02月12日 13時01分 (#1295376)
  
  扱う人が欠けてる桶に水を入れないようにするのが一番です。
  人員管理が最大のセキュリティなのでしょうけど、大企業は難しいかもしれませんね。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    人が桶に入って作業すればいいわけですね
    
    # 次は桶を壊す人を入れない対策をしないと
    - Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:3, おもしろおかしい)
      
      by Anonymous Coward on 2008年02月12日 14時00分 (#1295414)
      
      結論：桶屋が儲かる。
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        つまり、ピーターが儲かると・・・そうかもｗ
    - Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, おもしろおかしい)
      
      by Anonymous Coward on 2008年02月12日 14時51分 (#1295461)
      
      人が桶に入って作業すればいいわけですね
      それなんて棺桶？
      
      シェア
      
      親コメント
    - それ何て駄洒落 (スコア:1)
      
      by 127.0.0.1 (33105) on 2008年02月12日 15時01分 (#1295474) 日記
      
      桶に入ればOK
      
      #おあとがよろしいようで
      
      シェア
      
      親コメント
- Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1)
  
  by malark (30540) on 2008年02月12日 13時59分 (#1295413) ホームページ
  
  weakest link ってやつですね。
  鎖全体の強度が一番強度が低い箇所で決まってしまうという。
  "低いところ"の強化も大事ですが、それでもやはり一番低いところは存在するわけで、万が一それが破られても被害が全体に及ぶことがないような仕組みが必要なんだと思います。
  
  と同時にstrongestであるべき部分が全体を支えている構造でも、そこが狙われればそれこそ全体的に終わりという話でもあるので…
  なんとも難しいですね。セキュリティって。
  
  シェア
  
  親コメント
今度は何の宣伝？ (スコア:2, すばらしい洞察)

by Anonymous Coward on 2008年02月12日 14時23分 (#1295431)

この発言者は何を売ろうとしているのでしょうか？
- Re:今度は何の宣伝？ (スコア:4, 参考になる)
  
  by akudaikan (26016) on 2008年02月12日 15時59分 (#1295537)
  
  But if I can reduce the number of security incidents by 30 percent through a $10,000 security awareness program, doesn't that make more sense than spending $1 million on an antivirus upgrade that only reduces incidents by 2 percent?
  結局は、「俺に金を払えばいい様にしてやるよ」ってことみたいだね。
  
  シェア
  
  親コメント
費用対効果を考えましょう (スコア:1)

by takano32 (17535) on 2008年02月12日 12時58分 (#1295373) ホームページ日記

ということは思いますね。

# 上からのお達しで変なところにばかりお金がとんでいくのは最悪ですな。

--
旅に出ます．(バグを)探さないで下さい．
- Re: (スコア:0)
  
  by Anonymous Coward
  
  安全すら費用対効果なんていってるからダメになるんだと思うよ。
  - Re:費用対効果を考えましょう (スコア:1)
    
    by takano32 (17535) on 2008年02月13日 10時32分 (#1296072) ホームページ日記
    
    どんくらい物を知ってるかわかんねーACですが、ISMSとかかじってみるといいと思いますよ。
    
    --
    旅に出ます．(バグを)探さないで下さい．
    
    シェア
    
    親コメント
ノートンっつったら (スコア:1)

by 127.0.0.1 (33105) on 2008年02月12日 13時27分 (#1295387) 日記

ノートンっつったら、そりゃピーター・ノートンだろ。何でティペットに名前変えたんだ?
と思ったら、ノートンのピーターはユーティリティの方で、アンチウィルスの
開発者がこのティペットの方のピーター、ということみたいで。

ノートンって名前だとティペットの方が知られないから、両者にいいように
製品名をピーターに名前変えたほうがいいね＜いやよくねえって
えっ！？ (スコア:1, おもしろおかしい)

by Anonymous Coward on 2008年02月12日 15時44分 (#1295522)

無駄な時間が三分の一で済んでるなら全然良いじゃない！

なんて思ったのは俺だけ？
- うわあああああああ (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2008年02月12日 18時38分 (#1295694)
  
  また今日も/.Jに来てこんなトピックのコメント全部読んでしまった
  
  シェア
  
  親コメント
- Re:えっ！？ (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2008年02月12日 21時20分 (#1295799)
  
  >無駄な時間が三分の一で済んでるなら全然良いじゃない！
  
  無駄な時間とは、
  バグを作る時間と、報告書を書く時間と、顧客に頭を下げる時間と、
  それに寝る時間と飯を食う時間かな？
  
  これで一日の大半が消えてしまう職場環境など、想像できるけどしたくないな。
  
  シェア
  
  親コメント
分かってるのか？貴様のせいだ (スコア:0)

by Anonymous Coward on 2008年02月12日 15時04分 (#1295476)

＞しかし彼はたった1つのパスワードさえ手に入れればいいだけなのだから、
＞パスワードの強化を導入することに実際どんな利益があったと言えるだろうか？」

おまえのせいでそうさせられているのにそんな事を言っているのはこの口か！
- Re:分かってるのか？貴様のせいだ (スコア:1)
  
  by nofuture (17983) on 2008年02月12日 22時31分 (#1295845)
  
  >この口か！
  
  いや口がたくさんあるのでその口をふさいでも...
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

アンチウイルスの考案者からの提言：セキュリティ部門は無駄な時間を割いている 23

アンチウイルスの考案者からの提言：セキュリティ部門は無駄な時間を割いている More ログイン

桶のどこかが欠けてたらそこまでしか水たまらない (スコア:4, すばらしい洞察)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, すばらしい洞察)

Re: (スコア:0)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, 興味深い)

Re: (スコア:0)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:3, おもしろおかしい)

Re: (スコア:0)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1, おもしろおかしい)

それ何て駄洒落 (スコア:1)

Re:桶のどこかが欠けてたらそこまでしか水たまらない (スコア:1)

今度は何の宣伝？ (スコア:2, すばらしい洞察)

Re:今度は何の宣伝？ (スコア:4, 参考になる)

費用対効果を考えましょう (スコア:1)

Re: (スコア:0)

Re:費用対効果を考えましょう (スコア:1)

ノートンっつったら (スコア:1)

えっ！？ (スコア:1, おもしろおかしい)

うわあああああああ (スコア:2, おもしろおかしい)

Re:えっ！？ (スコア:1, おもしろおかしい)

分かってるのか？貴様のせいだ (スコア:0)

Re:分かってるのか？貴様のせいだ (スコア:1)

スラド