小野寺です。 先日、実在する弊社担当者名を使った英文の詐欺メールが出回りましたが、その担当者 Scott Culp は、非常に初期のころから、Microsoft のセキュリティ対応に取り組んでいた人の一人です。 その彼が、書いたコラムをに、「セキュリティに関する 10 の鉄則」と「セキュリティ管理に関する 10 の鉄則」があります。今でも、十分に通用するというか、今だからこそ実感がわくというか・・・ 仕事で煮詰まった時(別に普通の問いでも OK です)にでも、一度読んでみると面白いと思います。各鉄則だけ、Blog で紹介しておきます。 個人的には、「セキュリティに関する 10 の鉄則」の鉄則 1 は、多くの方に再認識いただきたいと感じてしまします。

「セキュリティに関する 10 の鉄則」 http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true

1. 鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない
2. 鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない
3. 鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない
4. 鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない
5. 鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである
6. 鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている
7. 鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている
8. 鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
9. 鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない
10. 鉄則 10: テクノロジは万能ではない

「セキュリティ管理に関する 10 の鉄則」 http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true

1. 鉄則 1: 自分の身に何か悪い出来事が起こるまで、だれもそれが起こるとは考えもしない
2. 鉄則 2: セキュリティ保護の方法が簡単である場合にのみ、セキュリティはうまく働く
3. 鉄則 3: 常に新しい修正プログラムを適用していなければ、あなたのネットワークは長くはもたないだろう
4. 鉄則 4: 最初からセキュリティで保護されていないコンピュータにセキュリティ修正プログラムをインストールしても役に立たない
5. 鉄則 5: 永続的な警戒を行ってこそセキュリティが保護される
6. 鉄則 6: 外部からあなたのパスワードの推測を試みている第三者が実際に存在する
7. 鉄則 7: 最も安全なネットワークは管理が行き届いたネットワークである
8. 鉄則 8: ネットワークを攻撃から守ることの難しさは、その複雑さに直接比例する
9. 鉄則 9: セキュリティとは危険を回避することではない。リスクを管理することである。
10. 鉄則 10: テクノロジは万能ではない