スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

真正性をつつく8(最終回) - 今までのおさらいと総括

 この記事は、真正性をつつく7の続きです。前回は、セキュリティテストについて解説しました。今回は、今まで解説してきた事をおさらいします。
 7回にわたり認証について解説してきました。しかしながら、セキュリティを考慮したシステムを作った経験がある人しかピンとこないかもしれません。そこで、自称・営業部長山田太郎(もちろん仮名)の例を元におさらいする事にしました。

【会社のホールにて】
謎の男「済みません。ちょっとよろしいですか?」
掃除婦「はい。」
謎の男「研究開発室に用があるのですが、ご案内頂けますか?」
掃除婦「申し訳ございません。当社では案内は受付係を必ず通す事になっております。
    受付ならば案内する事が出来ますが、如何でしょうか?」
謎の男「いえ、結構です。受付の場所ならば知っています。」
掃除婦「分かりました。」

【会社の裏口】
裏口を勝手に通過しようとする謎の男
警備員「お待ちください。」
謎の男「何ですか?私は社長の許可を得ているのですが・・・」
警備員「お手数をおかけしますが、当社はセキュリティ上の都合で、
     たとえ社長であろうと裏口は通れない事になっております。」
謎の男「なんだと!では、何のために裏口があるのですか?」
警備員「裏口は火災・地震時等の緊急避難のための通路です。
     誠に申し訳ございませんが、受付で正規の手順を踏んで下さい。」
謎の男「そんな事はきいていない。今度からそうするが、
     今回は緊急の用事なのでこちらを通過させてもらうよ。」
警備員「連絡に不備があった事はお詫びいたします。
     ですが、お客様や関係者の皆様からお預かりしている貴重な情報があります。
     皆さまにご迷惑をおかけしないために、
     当方はセキュリティ対策をしなくてはなりません。」
謎の男「そう、堅い事はいうな。社長とは長い付き合いがある。」
警備員「常日頃お世話になっております。関係者の方ならば、
     当社がセキュリティ対策の実施を、
     半年前から何度も通知しておりますので、よくご存知だと思います。」
謎の男「そういえば、そんなこと言っていましたね。
     これは失礼しました。既に実施しているとは知らなかったもので・・・」
警備員「お気になさらないでください。ご不便をおかけします。」
謎の男「分かりました。受付に行きます。」

むむ、怪しい人が会社にやってきました。色々な事を言っていますね。でも、認証対象となるオブジェクトが、どんな事を言ってもルートを一本化するために、必ず規定の場所に誘導せねばなりません。その為には、あらゆる人に徹底してセキュリティ教育をせねばなりません。ただし、極力相手に不快感を与えないように努力する必要があります。その辺の教育も必ずしましょう。セキュリティ対策は教育が命です。

 引き続き、謎の男の動向を見てみましょう。

【受付にて】
謎の男「ちょっと、済みません。研究開発室に行きたいのですが・・・」
受付嬢「はい、研究開発室への入室ですね。お名前を伺ってもよろしいでしょうか?」
謎の男「別にかまいませんが、何故名前を聞くのですか?」
受付嬢「入室には許可が必要となっておりますので、
      お名前を教えて頂かない事にはお通し出来ません。」
謎の男「分かりました。山田です。」
受付嬢「どちらの山田様でしょうか?」
謎の男「○○商事の営業部長山田太郎です。」
受付嬢「有難うございます。只今、アポを確認いたしますので、5分ほどお待ち下さい。」
山田太郎「緊急の用件なのでアポはとっていません。」
受付嬢「ご安心ください。
     当社のシステムは全ての取引および関係者が記録されていますので、
     お名前でチェックできます。5分ほどお待ちください。」

セキュリティ対策にはストレスがつきものです。ですから、ただ闇雲に拒否をするのではなく、相手の便宜を図るシステムの機能も作らねばなりません。この場合訪問者に、セキュリティ対策をしない時と比べて、アポ無しでも何とかなるという利点があります。訪問者を全て追い返す会社には誰も来なくなります。セキュリティ対策が会社の利益を損なわないように十分に注意しましょう。

 今度はセキュリティ実施側の視点を書きます。

受付嬢( こんな時は、訪問者管理ソフトでチェックするのよね?
      えっと、山田太郎で検索・・・あれ?超~ビックリ、山田太郎氏が何人もいるわ。
      こんな時は絞らないと・・・うーん、○○商事で絞り込んでも2人居るわ。
      2人の顔を知っている人を呼ぶ必要があるわね。
      連絡先は、研究開発室の真田さんね。電話しないと・・・)
受付嬢「もしもし、真田さん。今ロビーに○○商事の営業部長太郎さんが来ています。   
      アポなしですし、開発部にも同姓同名の人がいますので、認証お願いできますか?」
真田「分かりました。でも、ちょっとおかしいな。
   今のところ、山田部長が来る要件なんてないな。
   ロビーに警備員も呼んでもらえるかな。」
受付嬢「分かりました。警備員を呼びますので、今から2分後にロビーに来て下さい。」
真田「了解しました。ところで要件は?」
受付嬢「済みません。要件は緊急としか仰っていません。」
真田「緊急???分かりました。その件も含めてチェックします。」

セキュリティでは色々な事を考えなくてはなりません。この場合、山田太郎氏は本当に本人なのでしょうか?なり済ましの恐れがあります。また、たとえ本人でも怨恨による犯行も考えられますので、用心に越した事はありません。そうした連絡体制を取るのもセキュリティ対策の一環です。

 では、その結果を見てみましょう。

【警備員が見廻りをするロビーにて】
真田「山田部長。お待たせしました。」
山田太郎「おお、お久し振り真田君。」
真田「お世話になっています。あれ?営業部長の方だと伺っておりましたが・・・」
開発部長山田「済まん。嘘だ。」
真田「なぜ、その様な事を・・・」
開発部長山田「うちが作ったシステムが上手く動作しているか気になってな。」
真田「お気づかい有難うございます。
    セキュリティ対策についてどう思われましたか?」
開発部長山田「まだ、たどたどしいな。それと、全般的に甘いな。」
真田「と、いいますと?」
開発部長山田「今この場で君を刺しても、この距離では警備員は間に合わないだろう。
         自分で言うのもなんだが、こんな怪しい男、もっと警戒してもいいと思うぞ。」
真田「そこまでは考えていませんでした。面目ないです。」
開発部長山田「うむ。それと、君は本当に真田なのか?」
真田「御冗談を。本物ですよ。」
開発部長山田「今さっき、ロビーに入る時、何のセキュリティチェックもしていなかったな。」
真田「ええ。出勤時に認証チェックをしていますから。」
開発部長山田「内部セキュリティが甘いな。それだと、一回突破されたらおしまいだ。
         認証は多重チェックが基本だと前にも言っただろ。」
真田「ええ、仰るとおりです。」
開発部長山田「それに、そもそも○○商事というのも嘘だった場合どうするつもりだ。」
真田「そこまでは考えておりませんでした。どうしたよいものやら・・・」
開発部長山田「まだまだだな。当社が最近開発した認証セットがあれば解決するぞ。」
真田「相変わらず商売上手ですね。」

この基本的な例(面白くなるように味付けてしています)を見れば分かって頂けると思いますが、セキュリティ対策は考えるべき事が沢山あります。また、絶対に完璧な状態になる事はありません。それに加えて、真正性は情報セキュリティの一部でしかありません。真正性単独ではセキュリティホールがあり過ぎます。他の性質と共に考えねばなりません。
 他にも色々解説するべき事がありますが、あまり長すぎると退屈だと思いますので一旦終わりにします。また近いうちに解説しますのでちょっとだけご期待下さい。
スポンサーサイト

テーマ : ソフトウェア開発
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

インドリ

Author:インドリ
みなさん、はじめまして、
コンニチハ。

ボクは、無限の夢(infinity dream)を持つネタ好きな虹色の鳥インドリ(in dre)です。
色々な情報処理技術を啄ばむから楽しみにしてね。

http://twitter.com/indori
は別人による嫌がらせ行為です。
私とは関係ないので注意して下さい。
次はなりすましブログなどをするかもしれませんが、ここ以外でブログをするつもりがないので、ここ以外にインドリのブログがあったとしても無視してください。


何度言っても分からない人がいるので、ここにコメント欄へ書き込むときの注意事項を書きます。


一、社会人としてのマナーをわきまえましょう。
一、妄想に基づく書き込みを止めてください。
一、暴言の類は書かないで下さい。
一、某誹謗中傷サイトの書き込みは彼らの妄想に基づく書き込みですから無視して、ここへ書き込まないで下さい。
一、コメント書く前に他のコメントよく読んでから行って下さい。
一、言いがかかり等の行為を禁止します。
一、その他常識的に考えて迷惑なコメントはしないで下さい。


以上のルールを守れない人のコメントは削除します。



利用上の注意
ここに紹介してある文章およびプログラムコードは正確であるように心がけておりますが、内容を保証するものではありません。当サイトの内容によって生じた損害については、一切の責任を負いませんので御了承ください。


執筆したCodeZineの記事


【VB.NETで仮想CPUを作ろう】

  1. VB.NETで仮想CPUを作ろう
  2. レジスタの実装
  3. 仮想CPUのGUI化
  4. テストドライバの改良
  5. CPUの基礎動作の実装
  6. MOV命令の実装
  7. ADD命令実装
  8. SUB命令実装
  9. INC命令&DEC命令の実装と命令長
  10. MLU命令の実装とModR/Mについて
  11. DIV命令の実装とイベント設計について
  12. 機械語駆動式 関数電卓を作ろう!
  13. 機械語駆動式 関数電卓を作ろう! 解答編(前半)
  14. 機械語駆動式 関数電卓を作ろう! 解答編(後半)


【仮想ネットワーク実装でTCP/IPを学ぼう】
  1. TCP/IPの基礎と勘所
  2. ネットワークアクセス層の勘所
  3. インターネット層の勘所
  4. トランスポート層の勘所
  5. アプリケーション層の勘所
  6. セキュリティの基礎と仮想ネットワークの仕様
  7. GDI+と独自プロトコルの定義



【並列化】
インテル Parallel Studioを使って並列化プログラミングを試してみた
並列プログラミングの効率的なデバッグを実現する「Parallel Inspector」


【TBBシリーズ】
  1. インテル スレッディング・ビルディング・ブロックの概要
  2. インテルTBBから学ぶループの並列化
  3. スレッドセーフとインテルTBBのコンテナ
  4. インテルTBBのスレッドクラス


【OpenMPシリーズ】
  1. OpenMPの基礎構文
  2. OpenMPの実行時ライブラリと並列ループ
  3. OpenMPのメモリモデルとfork- joinモデル

最近の記事
最近のコメント
月別アーカイブ
カテゴリ
Ada (9)
COBOL (5)
C (9)
C++ (11)
C# (370)
D (25)
Java (8)
Perl (1)
Ruby (14)
PHP (2)
Boo (2)
Cobra (2)
LISP (6)
F# (33)
HTML (0)
XHTML (0)
CSS (0)
XML (0)
XSLT (0)
Scala (4)
WPF (0)
WF (2)
WCF (0)
LINQ (4)
MONO (5)
Linux (0)
MySQL (0)
ブログ内検索
リンク
最近のトラックバック
RSSフィード
ブロとも申請フォーム

この人とブロともになる

QRコード
FC2カウンター
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。