セキュリティホールは人間？

堅牢なセキュリティが施されたシステムに侵入する方法として、何が一番有効な方法だと思います？

“パスワードクラッキング”や、”ネットワーク盗聴”、”ソフトウェアの脆弱性を突いたネットワーク攻撃”、といったことが真っ先に浮かぶかもしれませんが、そのどれでもありません。

情報セキュリティのガイドラインである「BS7799」では、システムに侵入する最も最良な方法は、

「従業員にワイロを送ること」

だと定めているみたいですね。

先月のBlack Hat Japan 2005で、内田助教授がこのことに関して発表していました。

■Black Hat Japan 2005 – 最大のセキュリティホールは「人間」

内田教授によれば最大のセキュリティホールは、マイクロソフトの脆弱性でもシステムの設定ミスでもなく、「人間」だということです。

まさにその通りだと思います。

例えば、どんなに難しいパスワードを設定し、通信を暗号化したとしても、そのパスワードを設定した人間が、第三者にその情報を渡してしまえば何の意味もないということです。

ハッキング・クラッキングというと、ついコンピュータを使った方法に目が行きがちですが、セキュリティを考える際は、まず第一に人間への対処をどうするか考えないといけませんね。