抹茶生クリーム大福を食べながらセキュリティの勉強

IWDD#33の「門外不出のセキュリティー勉強会」で話をしました。IWDDでは初めてのセキュリティーネタということで、なかなか良い煽りタイトルになったと思います。初参加や久しぶりの参加の方も多く集まりました。とりあえず私がモデレーターとして話をしましたが、他にもセキュリティ関係を気にして見てる人はいないのかな？

まず最初に、「アクセス権限のないコンピューターのパスワード等を解析しようとしたり攻撃しようとしたりする行為は、不正アクセス禁止法、あるいはその他の法律で処罰の対象となる可能性があります。今日はそのような行為から自分のPC等を守る為に必要な技術や防御措置とかを勉強します。勉強会では不正アクセスを助長していませんよ。」というのをみんなで再確認。お約束おやくそく。

IPAの情報セキュリティ白書でここ数年の傾向を振り返った後、その中のトピックについて説明＆デモ。

また、SecurityFocusなどの脆弱性情報が集まるサイトを見ながら、実際に仮想環境で再現実験をしたり、カスペルスキーが反応する様子を見たり、TripWireやSnortやWiresharkやNessusなどの各種ツールを動かしてみたり。JPCERT/CCのサイトを確認したり。

内外部からの侵入やウィルス感染への対応など、すべき事はたくさんあるけど、今日から個人的にも出来ることは、きちんとセキュリティパッチを当て続け、PCの中に保存する情報は暗号化ボリューム等に保存して、利用する通信経路を暗号化しておく事でしょうか。Windows系OSを使っている人は、パスワードは15文字以上にしておいた方がいいと思います。

Web制作の現場では、まだまだ素のFTPを使ってファイル転送をしている人が多いような気がしますが、FTPSやSFTPなどの暗号化された経路を今すぐ使うべきです。レンタルサーバーでも対応しているところが増えています。SMTPやPOP3もSSL/TLSでの暗号化をすべきで、暗号化出来るところはすべて暗号化してしまいましょう。

PCの中に保存するデータはTrueCryptやMacならDiskUtility.appを使って、暗号化ボリュームの中に保存しておくと、PCが物理的な盗難に遭っても少しは安心できますね。プログラミングをする人は、それぞれの分野に応じて脆弱性を組み込まないように気をつけましょう。一番弱いのは人でしょうか。

そうそう、今回のおやつは「抹茶生クリーム大福」、「手作りリンゴジャム&パン&ヨーグルト」、「ポッキー」でした。おいしゅうございました♪