セキュリティのウィーケストリンク

史上最強のハッカー、ケビンミトニックについてかかれた「欺術」という本を読んでいます。私のようなコンピュータエンジニアにとってセキュリティは最重要課題です。

元々私はネットワークよりもアプリケーションに強いのであまり詳しくないのですが、それでも最近の製品はかなりセキュリティに強くなっていると思います。それなりに設定すれば、セキュリティを破られることはないと思っていました。ですから、この本はとても興味を持って読んでいます。

まだ途中ですが、この本にははじめに結論が書いているようです。それは

「セキュリティのウィーケストリンクは人間である」

ということです。結局はセキュリティを破るにはなりすます必要があります。その技術が欺術だということです。

例えば、A社の情報を知りたい場合、まずその人はよくある名前「鈴木」を使い、社員番号を聞きます。この時点で社員番号自体は機密情報ではないので、気軽に答えます。そして後日、「鈴木」と「社員番号」を使ってパスワードをききます。パスワードを教えるか否かは、本人だと認証する必要があります。認証するための情報は以外に少なく、上記ほどだったりします。そしてパスワードを聞き出したら、本人になりすましたのと同然です。それを手がかりに情報をとっていき、またそれを手がかりに大きな情報を入手するわけです。

つまり、一部なら機密ではない情報をかき集めて、ジグソーパズルのように組み立てることで全体を知ることができるのです。

この本に書かれている「セキュリティとは製品ではなくプロセスである」という言葉が印象に残っています。