山陰ITPro勉強会 番外編#04に行ってきました

「エンジニアのための情報セキュリティの考え方」
〜最新の技術に対応できるセキュリティの地頭づくり〜

一言でまとめると、「数値化した価値に応じたセキュリティ対策を!」でしたかね。


エンジニアなのに、『なんかヤバいので、対策します』というのは辞めましょう的な。
『もし、○○の脆弱性があると、○○が発生して、1人辺り○○円の補償があるので、結果○○円の損失が発生するかもしれません』と数値化してから、考えましょうねと。

はい。費用対効果は大事だと思います。
以下のケースでも"費用対効果の壁が〜"とありましたもんね。


また犯罪には、動機、手段、機会があるので、それぞれを推測する事で、対策を考える事が出来ますよと。
この辺は開発する時に使うペルソナみたいな手法と似てますね。
実際に使う人がどんな人で、どうするか〜を妄想するみたいな。


よく言われる『相手の気持ちになって考えよう』ってやつですね。
「なぜホームページを改ざんするの?」とか。
皆でわいわい「どうするかな?」「この情報から芋づる出来ないかな?」と妄想した後に、「じゃあ、どう対策するの?」「いつやるの?」としていくと。


誰かには「敵の姿を勝手に想像するな」とか言われるかもしれませんが(笑


確かに100円の物を盗むのに1万円かけてもやるっていうのは酔狂ですもんね。
動機にはなりづらい。

そういう意味では、RICOHさんが出していたこういうのは挑戦状的で動機になるかもしれないんですかね?
http://www.ricoh.co.jp/info/130604.html
と、思いましたが、”適切な設定のもとで”ですね。


他にも、「実際に誰が攻撃するの?」とか面白いですね。
推測しにくいパスワードは、主に人間が入力する場合の対策で、時間稼ぎをするのは、プログラムが入力する場合の対策とか。
「IDとパスワードを入力する部分がたくさんあったら、攻撃者もやる気を失くすんじゃない?」というのは良いですね(笑


あとは、最近の事故で話題になった変な件。
やっぱり、誰もが変だと思う部分には理由がありますね。
理由を聞いてから、再度考えると、『ぁ”ー・・・』みたいになりますもんね。
苦肉の策っぽい雰囲気が伝わってくる話でしたw


個人的には、韓国のお話が面白かったです。
『そんな事してるん?!』というようなセキュリティ対策でした。
他にも色々聞いてみたかったですねー。


とても面白い話が聞けて、講師の方も面白い人だったので、懇親会行けなくて残念だな〜と思いました。

6,7月にはchef、8月はハンズオン、9月はあの方を呼ぶみたいな事を言われていたので、その時こそは!!!(><

今回もありがとうございました!!


と、数年ぶりにだらだらと日記を書いたのでした!