- コンピュータセキュリティにおける最も愚かな6つのアイデア
- コンピュータセキュリティは依然として「ホットトピック」である
- 多くの時間と費用を投じてもなお問題に苦しむのはなぜか?
デフォルト許可
- 「デフォルト許可」はさまざまな形で現れる
- ファイアウォールのルールで最もよく見られる
- 新たな脆弱性が発見されると、管理者はそれを遮断するかどうか決めなければならない
- 「デフォルト許可」はハッカーとの終わりなき競争を招く
- 反対の概念である「デフォルト拒否」は良いアイデアである
悪いものを列挙する
- 初期のコンピュータセキュリティでは、よく知られたセキュリティホールがいくつかあるだけだった
- 「悪いものを列挙する」とは、すべての悪性要素を列挙して遮断することである
- インターネット上の悪性要素は善良な要素より多くなった
- 「悪いものを列挙する」は非効率であり、「良いものを列挙する」ほうがより良いアプローチである
侵入してパッチを当てる
- 「侵入してパッチを当てる」は、バグを見つけて修正する方式である
- この方式ではコードの根本的な問題は解決しない
- セキュリティ脆弱性を発見してパッチを当てることは、根本的な解決策ではない
- セキュリティシステムは設計段階から安全に作られるべきである
ハッキングはかっこいい
- ハッキングをかっこいいものと見なすのは愚かな考えである
- ハッキングは社会的な問題であり、技術的な問題ではない
- ハッカーを英雄視することは、ハッキングを助長することになる
- セキュリティ専門家がハッキング技術を学ぶのも愚かな考えである
ユーザー教育
- ユーザー教育は「侵入してパッチを当てる」の人間版である
- ユーザーを教育することは根本的な解決策ではない
- 問題を解決する代わりに、問題そのものを取り除くほうがより良いアプローチである
行動は無行動よりましだ
- 「行動は無行動よりましだ」という考えは愚かな考えである
- 新しい技術を導入する前に、十分に検討し、待つことのほうがより良い戦略である
- 「愚かな行動をしないことは、賢い行動をすることより簡単だ」ということを覚えておくべきである
GN⁺のまとめ
- この記事は、コンピュータセキュリティでよく犯される愚かな誤りを扱っている
- セキュリティシステムを設計する際には、根本的な問題を解決することが重要である
- ハッキングをかっこいいと見なす文化は、ハッキング問題を悪化させる可能性がある
- ユーザー教育よりも、問題を根本的に解決するアプローチが必要である
- 新しい技術を導入する際には、十分に検討し慎重に進めることが重要である
1件のコメント
Hacker Newsのコメント
「Default Deny」は「Default Permit」より難しいわけではないが、ITセキュリティ担当者の睡眠の質は良くなる
90年代後半から2000年代初頭にかけて、Marcus RanumとBruce Schneierは脆弱性公開は有害だと主張していた
パスワードへの言及がないのは驚き
セキュリティテストは不要だと主張するのは、最悪のセキュリティ観点だ
セキュリティ志向のアプローチはユーザーに不便をもたらす
ハッキングはクールなことだが、他人のデータやシステムにアクセスするのはそうではない
エクスプロイトを学ぶことは、理論と実務をあわせて学ぶのに役立つ
ユーザビリティとセキュリティの不幸なトレードオフが問題だ
クライアントを信頼するのは、セキュリティモデルが破綻しているということだ
「Penetrate and Patch」アプローチは、セキュリティ業務を無意味にする