Personal tools
You are here: Home ブログ 井上 自分の身は自分で守るべし
« December 2010 »
Su Mo Tu We Th Fr Sa
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
Recent entries
Apache2.4のリリース予定は来年(2011年)初め(あくまで予定) inoue 2010-12-23
Herokuの発音 inoue 2010-12-20
雑誌記事「ソフトウェア・テストPRESS Vol.9」の原稿公開 inoue 2010-12-18
IPA未踏のニュース inoue 2010-12-15
労基法とチキンゲーム inoue 2010-12-06
フロントエンドエンジニア inoue 2010-12-03
ASCII.technologies誌にMapReduceの記事を書きました inoue 2010-11-25
技術評論社パーフェクトシリーズ絶賛発売中 inoue 2010-11-24
雑誌連載「Emacsのトラノマキ」の原稿(part8)公開 inoue 2010-11-22
RESTの当惑 inoue 2010-11-22
「プログラマのためのUXチートシート」を作りました inoue 2010-11-19
「ビューティフルコード」を読みました inoue 2010-11-16
Categories
カテゴリなし
 
Document Actions

自分の身は自分で守るべし

slashdot.orgが取り上げている、以下のような記事がありました。

調査の信憑性はあまり信じていません。こういう調査は、調査結果を欲する会社があれば、生まれるものだからです。

ただし、一定のITスキルがある人間にとって、社内のセキュリティというのはあって無きがごとし、というのは事実です。それほど訓練していないぼく程度でもパスワードを打つ手元を見ていれば、6,7割の文字は分かります。社内にいるH氏ぐらいになると、ほぼ100%読み取れるようです。

記事には次のようなことも書かれています。

The survey also found that one third of IT staff admitted to snooping around the network, looking at highly confidential information, such as salary details and people's personal emails.

3分の1という数値の信憑性はともかく、一定数のシステム管理者は、他人のメールを盗み読むことの誘惑に勝てない可能性はあるだろうな、とは思います。

大学時代、メールサーバのrootパスワードさえ分かれば、他人のメールボックスを読める事実を知り、これは危険なものだと感じました。いつかサーバのrootパスワードを教えてもらう時がありました。rootユーザとして決してしてはいけないことのひとつとして、他人のメールを読むことが挙げられました。rootユーザは強い権限を持つゆえ、それに伴う強い倫理観が求められるのです。古き良きUnix文化には、このように行動規範を口承する伝統がありました。

自分で自分に課した倫理はかたくなに守るたちなので、今まで一度も他人のメールボックスを見たことはありません。障害調査のためにメールボックスを見る必要に迫られた時に、当人に伝えた上で、grepで限定した行を抜き出したことがあるぐらいです。

メールの基本的な仕組みは、ぼくの大学時代から変わっていないので、今でも、メールの中身が盗み読まれるかどうかは、システム管理者の倫理観に依存しています。盗み見に対しては、メールの暗号化が最も筋の良い対策ですが、要素技術が揃っているにも関わらず、10年以上に渡って一向に普及する兆しがありません。POP3で、サーバ上のメールボックスからメールを削除してしまうのも、非本質的ですが、盗み見に対するひとつの対策になっています。

メールが最低ラインで、世の中にある、その他のシステムの秘匿性はもう少しマシです。もっとも、最後の砦はパスワード、というのが大半なので、パスワードを破られればお終いです。パスワードが最後の砦という状況に対する、最も筋の良い対策はPKI(AirOneでも使っています)だと思いますが、ユーザ(クライアント)認証という観点では、これもほとんど普及していません。

そんなわけで、ぼくはネットワークの秘匿性というのをほとんど信じていません。ネットワークに公開したものは、誰にでも読まれうるという前提で書いています。まさか他人に読まれるとは思わなかった、なんて泣き言を後で言う気はさらさらありません。どうしても一部の人間にだけ伝達したい場合、内容そのものを寓話的にしたり、分かる人にだけ分かるような書き方をします。これが秘匿性を確保する最善の策です。

The URL to Trackback this entry is:
http://dev.ariel-networks.com/Members/inoue/self-security/tbping
Add comment

You can add a comment by filling out the form below. Plain text formatting.

(Required)
(Required)
(Required)
This helps us prevent automated spamming.
Captcha Image


Copyright(C) 2001 - 2006 Ariel Networks, Inc. All rights reserved.