読書メモ

・「クラッカーお断り〜UNIXセキュリティ管理の基礎の基礎」
（Donald L. Pipkin：著、習志野弥治朗：訳、\2,200、ピアソン・エデュケーション） : 2004.04.24

内容と感想：
　個人情報漏洩事件が相次いでいる。顧客名簿はその筋の人には高く売れるそうだし、住所や電話番号でさえ個人情報として価値を持っており、立派に売り買いの対象になっているということだ。最近のYahoo!BBの一件では、売買を目的とした犯行ではなく、漏洩が公表されることで企業が被る悪い評判を見込んだ脅迫へと発展している。この件もそうだが顧客情報が漏れる場合、多くは内部の人間の犯行であることが多い。どんなに情報セキュリティ対策を強化しても、外部からの攻撃には強くても、身内には甘いのでは、内部犯行は減らないだろう。特に密かに会社に不満を持った情報システム担当者などがいるとしたら、もうこれはセキュリティ問題とは離れてしまう。本人のモラルに訴えるか処遇を見直すしかないだろう。
　話はそれたが、本書は情報漏洩という低レベルの犯罪ではなく、情報システムへのより攻撃的なクラッカーからの脅威にどう対処したらよいかを解説している。
　WindowsやIEのセキュリティ・ホールに関する報道はあとを経たないが、なにもWindowsシステムだけが脆弱なシステムだというわけではなくて、対策が不十分なシステムはUNIXであろうが様々な脅威に晒されていることになる。本書はUNIXシステムを対象に書かれている。特にシステムの要・UNIXサーバだが、システムを脅威から守るために、クラッカーの視点からシステムを眺めて、どう対応すべきかを説いている。
　システムを様々な脅威から防護するためには、まずは攻撃を受けてもクラッカーに侵入されない強固な事前対策が施されていることが大事だ。それでももし侵入を許してしまった場合に、出来るだけ被害を少なくするためにどうすべきか、またシステムを使用する企業内ユーザのセキュリティ意識の向上と教育や、企業としてのセキュリティに対するポリシーの策定の必要性など情報システム担当者は必読だろう。
　隙があるから餌食になるわけで、クラッカーも諦めるような堅固なセキュリティなら自然にクラッカーも減るだろうが、理想に過ぎないだろう。永遠にイタチごっこが続くのだろう。システム担当者はぐっすり眠るためには油断はできない。日々新手の脅威が迫っているのだから。

-目次-
第１部　クラッカーについての基礎知識
　第１章　クラッカーというものを理解する
　第２章　情報こそクラッカーの最終兵器
　第３章　アクセスの成功する方法
　第４章　権限の取得方法

第２部　クラッカーの仕事ぶり
　第５章　クラッカーの監視を監視する
　第６章　侵入跡を隠す方法
　第７章　バックドア
　第８章　侵入者のさらなる侵略
　第９章　クラッカーの目的

第３部　クラッカーお断り
　第10章　システムの保護
　第11章　侵入の検出
　第12章　セキュリティ事故への対応

更新日： 04/04/25