9968050_m-750x410

メール詐欺と注意喚起

メールは最速のコミュニケーション手段です。これは私たちが子供の時に学んだ事です。事実です!まったくその通りです。現在、誰もメールアカウントなしの生活なんて考えられません。メールを使わずに仕事をこなすこともできません。求職書類の申請から友人のパーティ招待まで幅広く使います。

 

このメール文化は、オンライン詐欺師が金銭、またその他の利益を得るために入れる隙間をたくさん開けてしまいました。詐欺師たちは、一般的なネット利用者のWeb経験を台無しにする為に新しいツールや手段を使います。このように、本稿では一般的なメール詐欺に気づき、保護できるようにいくつかの方法をリストアップしました。

 

1.フィッシング攻撃

フィッシング攻撃は、メールで本物のWebページに酷似している偽のWebページのリンクを送ります。そして、一旦ログインやクレジットカード番号などの個人情報を入力すれば、詐欺師の保管所にデータが格納され、後に悪用されてしまいます。

 

このような攻撃を避けるため、アクセスしようとしているWebページのURLを再確認してください。少しでも相違点を見つけたら、タブを閉じ、そして神に感謝してください。どのようなWebページであろうと、個人情報を入力する前に二度考えてからにしてください。100%送り主が信頼できるか確信がない時は、添付ファイルをダウンロードしないでください。可能なWebサイトであれば、2段チェックを有効にしてください。

 

2.ナイジェリアの王子詐欺

彼が飛行機墜落事故で亡くなってからナイジェリアの王子の何百万ドルもの遺産を相続したと書いてあるメールを見たことがあるかもしれません。このようなメールは「419」メールまたはナイジェリア詐欺と呼ばれています。メールの下手な英語は第一の証拠です。しかし、多くのインターネット初心者や高齢者はこのようなメールや罠に引っかかってしまいます。甘い言葉を使い、送金手数料と称して数千円ほど支払うように促します。次に何が起こるのかは、もう推測の通りです。

 

このような詐欺を避けるのは簡単です。このようなメールに返信しないことが唯一の解決策です。もし、好奇心から返信するなら、個人情報を送らず、わずかな金額であったとしても送金はしないでください。

 

3.メール中のウィルス

オンライン詐欺師はとても賢く、インターネット上で金融取引を行った直後、あなたの銀行情報を入手するプログラムを作成することができます。このようなプログラムまたはウィルスは、画像、動画や他の実行可能なファイルとしてメールに添付されます。そして、一度でもクリックすれば、システムを検知しハッカーに必須情報が伝わります。

 

このような攻撃を避けるため、OSやアンチウイルスをすることが重要です。メールの全ての添付ファイルをスキャンし、マルウェアや何か怪しいものがあればクリックしないでください。もしクリックしたら、大事なお金をすべて失う可能性があります。

 

4.宝くじ詐欺!

ナイジェリアの王子詐欺と同様で、宝くじ詐欺が流行っています。言うまでもなく、メールが詐欺的で5ドルさえもらうことはないから、“当たった”500万ドルなどは忘れてください。これは個人情報を集め、手数料を装い利益を得るもう一つの手口です。

 

解決策は簡単です。罠に引っかからないでください。そのようなメールをスパムとして報告し、二度と受信しないようにメールアドレスをブロックしてください。

 

おわりに

テクノロジーが発展したように、詐欺師も進化しました。長い間、彼らは上記の手口を使い成功を収めてきました。このような詐欺を知らなければ、簡単に罠に引っかかってしまいます。上記のような問題を知っている以上、その手口に落ちないように注意してください。大損害を避けるため、世の中で話題になっているメールに目を光らせ、上に述べた対策に従ってください。

20026199_m-750x410

新規採用者に対し、データセキュリティについてどのように教育すべきか?

新規採用者に対してデータセキュリティについて教えることは会社にとって重要な業務の一環です。あらゆる企業において、セキュリティ上で最も弱い部分は従業員自身であり、彼らがそれを自覚しているかどうかを見定める必要があります。この点を理解させる最善の方法は、危機感を持ち、以下のトピックを提示することです。データ漏洩の責任を負いたい人はいません。

 

リンクをクリックしないでください。

フィッシングメールは攻撃者にとって最も簡単にデータに近づく方法です。フィッシングメールを受信した際の最善策は、直感を信じることだと会社全体に周知することです。怪しいと思ったら、恐らくフィッシングです。メールのドメイン、キャップスロックや転送リンクは全てフィッシングメールの特徴です。ここに、これらのメールを開いてしまう前に役立つ情報と裏技があります。

 

  • 隠されたハイパーリンクはどれも怪しいものです。もし、そのリンクをクリックせずにカーソルを合わせれば、情報源または転送サイトの正体が表示されるはずです。
  • メールアドレスかドメイン名末尾のつづり間違い
  • メールの内容は、外部の口座に送金するものと関連しています
  • まず、どうして見知らぬ人がメールを送ってくるのでしょうか?

毎年、フィッシングメールの危険性に関する“念押し”を従業員に送り、思い起こさせなければならない。また、毎年フィッシングキャンペーンを催すことで、用いている方法の効果を正確に測定できます。

 

パスワードの共有はしないでください

パスワードの適切な扱い方を教えるのは必須です。従業員は覚えやすくするために簡単で短いパスワードを作ります。安全なパスワードを作成する為、以下に従ってください:

 

  • パスワードの長さは14文字以上でなければならない
  • 特殊文字を含ませるのが必須
  • 数字を含ませるのが必須
  • 大文字を含ませるのが必須

また、従業員にパスフレーズを覚えさせるほうが、簡単な場合もあります。例えば、大好きな歌の冒頭部の歌詞をとること。これらを組み合わせれば、大文字、数字、そして特殊文字を加えてください。すると、非常に安全なパスワードが出来上がります。この“パスフレーズ”を使うことで、パスワードの書き留め防止にも繋がります。

 

フィジカルアクセス

バーチャルセキュリティが確保されれば、次に来るのはフィジカルセキュリティです。入退室キーを失わない重要性について説きます。さらに重要なのは、他人を建物に立ち入らせないこと。立ち入らせるというのは、他人に自分のID不正使用を容認することです。これが起きるのは、従業員は誰か前でドアを閉めることに違和感を覚えるからです。企業は、誰かの目の前でドアを閉めること(閉めないならせめてバッジの有無を確認する)は良いことどころか、当然のことだと広める必要があります。この方針を知っていれば、人の目前でドアを閉めることに対する違和感等が取り除かれます。

 

これらの対策は会社のITセキュリティ対策として導入されなければならず、従業員全員がいつでもその方針を確認できるようにすべきです。これら全てに共通する脆弱性は、人にあります。人と機密情報を含むあらゆる活動には不必要な情報流出を防ぐ管理が必要です。

6686260_m-750x410

パスワードと生体認証の未来

コンピュータ、スマートフォン、またその他の高性能機器であふれる現在、パスワードは重要な役割を担っています。
パスワードはオンライン上で個人を認証する鍵となっています。しかし、この認証方法はあとどのぐらい使えると思いますか?コンピュータの力は日々進歩しています。ハッカーと詐欺師がパスワードを解読し、オンライン・データベースにアクセスする為の道具としてこれらのコンピュータを利用しています。

 

技術の進歩により単純なものから複雑なパスワードまで、容易に解読できるようになりました。テキストパスワードに代わる生体認証への需要が高まってきました。しかし、主張されているように生体認証は安全で確実なものでしょうか?

 

本稿では、パスワードの将来と認証方法の変動について分析しています。近い将来、パスワードに効果がないと証明された場合、利用できる様々なオプションについても分析しています。読み続けてください:

 

生体認証は本当に正確か?

生体認証は最も正確な証明方法だと言うかもしれません。しかし、生体認証は時として、パスワードよりも危険を伴う場合があります。生体認証には、網膜のスキャン、指紋認証、顔認識のようないろいろな方法があります。しかし、これらの方法にはそれぞれ長所と短所があります。生体認証は無敵だと過信したら、大きな代償を払うことになります。

 

以下の状況を想像してみてください:

薬物またはお酒の影響を受けているとします。誰かが、故意にまたは強制的にあなたの親指を指紋センサーにつけてデータを盗みます。

 

そのような状況で何ができるでしょうか?

生体情報を変えることはできますか?まさに誰かが言ったように、「パスワードは変更できるけど目玉は変えることができない!」。さらに、そのようなデータを格納している会社のサーバーから情報を盗み、リバースエンジニアリングで認証できる生体器官が作成されれば、あなたのシステムに侵入する可能性がある。

 

将来はどうなるでしょうか?

近い将来を映すいくつかの特徴が既に存在しています。腕に巻き付けて携帯電話のロックを解除するBluetoothバンドや音声命令に従う装置があります。さらに、将来自分自身の行動パターンも認証に用いられる可能性もあります。以下は、認証のために使われる可能性がある行動パターンの一覧です:

 

話し方の特徴

「声紋」だけでは不十分です。声紋にアクセント、精神状態、抑揚のような情報が追加され、強いパスワードの一部となり得ます。

 

まばたき

既に、マスターカードでは自分自身を証明するために、セルフィを使ったアイデンティティチェックシステムが導入されました。さらに、セルフィはまばたきするように要求します。まばたきのパターンが本物のユーザーと偽者を区別する重要な手がかりになります。

 

歩き方

あなたの歩行パターンもまた、セキュリティを一層強化できます。速さ、また足取りは所有者の認証に足りる十分な情報を装置に提供します。

 

おわりに

上記の論点から、パスワードと生体認証の安全性が現在のオンライン世界で十分保障されていないことが明白です。確かに、隙のない強力な認証方法が必要です。セキュリティ強化のために、生体認証に“もう一層”を加える必要があります。

 

近い将来、素早くて安全な認証を可能にする生体認証方法と他の方法の組み合わせが出てくるかもしれません。うまくいけば、効率的で弱点が最低限まで抑えられた方法が近い内にできるでしょう。

31808281_m-750x410

ITマネージャーはどのようにサポートコールを減らせるか

毎日、多くのサポートコールを受けることは、時間の浪費と巨額のお金を費やすことに繋がります。長い時間、何度も繰り返し同じ質問に答えることになります。結局、会社の改善や成長に使えたはずのお金を、誰かの同じ質問に答える為に支払うことになります。

 

ポリシーと資料を活用する

今までに何回マイクロソフトワードをパソコンにインストールする方法を聞かれたことがありますか?これらの不要な問い合わせを避ける為、サポートラインによくある質問のいくつかの資料を作ってください。この資料には、全てのステップのスクリーンショットを含むようにしてください。それでも問題の解決ができない場合は、従業員はサポートラインに連絡することができます。「プリンターの接続はどうしたらいいの?」のようなよくある質問ではなく、本来チームが受けるべき電話を確実に受けられるようにします。

 

随所にフィッシング監視ツールを設置する

このプロセスはより綿密で、フィルタリングツールのシグネチャーライブラリを構築するのに時間がかかります。構築できたら、スパム、マルウェア、競合メール、そしてフィッシング未遂に関する多くの不要な電話をふるい分けられます。毎年のセキュリティトレーニングで、必ずフィッシングメールの適切な取り扱い方法を実施してください。それは、メールを開かず指定されたサポートの調査依頼窓口に送られるよにします。通常、セキュリティアナリストは悪質なメールかどうかを5分以内に判断します。このようなリクエストを分別することによって、従業員が容易に対応し、それを解決できるようにします。

 

メールを活用する

メールと連動したチケット発行システムを準備してください。従業員は電話の代わりに、リクエストを送信できます。一度リクエストをチケット発行システムに送ると、番号が返信され、リクエストを受付けられたことが依頼者に通知され、問題は対処されます。まだ時間のかかるプロセスですが、処理しやすく、電話に縛られていた手に対処することができます。メールまたは電話で順番に依頼者に対応することは早く、対応後の詳細は従業員にも通知されます。

 

上記の解決策のいづれかを導入できるまで、ITセキュリティの時間を解放すると同時にコールに対応する簡単な方法は、一日につき一人をアサインすることです。このように対応することで、従業員の手が煩わされるのは週に一度だけになります。全般的に、サポート問い合わせメールへの対応は非常に時間が掛かり、ITセキュリティの生産性を弱めます。経験豊富なセキュリティアナリストにネットワーク強化につながる大きなデータの解析ではなく、単純なサポート問題を対応させているなら、大きなお金の無駄だといえます。時は金なり。

29639098_m-750x410

サイバーセキュリティの脆弱性トップ5

ビジネスであろうと一般ユーザーであろうと、サイバーセキュリティは常に重要事項です。大企業や行政機関でさえもその危険に晒されています。サイバー犯罪は従来の物理攻撃よりも破壊的でどんな組織や人にでも大きく影響を与えます。なぜなら、攻撃者の居場所、またどのようなファイルや情報にアクセスしたかが分からないからです。

攻撃者が銀行のような金融機関または政府機関を標的にしたら、国家経済が危機に陥る可能性があるほど、攻撃の被害は甚大です。

このように、サイバー世界に広まっている脆弱性を知ることは攻撃の予防措置を取るうえで重要です。ネットワークで繋がった現代社会に潜む5つの脆弱性を発見するために読み続けてください。

 

1.バッファ オーバーフロー

バッファはメモリの一部です。そのメモリには、異なる文字列または一組の整数などが保存されます。確保したメモリ領域を超えてデータが入力された場合に、データが溢れます。このことをバッファオーバーフローといいます。バッファには膨大な情報量を取り扱うことができない為、バッファオーバーフローが起こります。

この攻撃は攻撃者がターゲットのスペース割当てシステムとバッファ管理に気づいているときに行われます。攻撃者は、ターゲットのシステムに悪意のあるデータをコードで送ることができます。アプリケーションがそれほど多くのデータを処理できないため、実際の割り当てより多くのバッファを使うのです。この情報はハッカーに返送され、この脆弱性を利用することができます。

 

2.インジェクションの脆弱性

これはごく一般的な欠陥であり、ハッカーにとっては有効なものです。この脆弱性では、アプリケーションは信頼できないデータを解釈プログラムに送ります。SQL、XPath、XMLパーサー、LDAPは、それに影響を受けるいくつかのアプリケーションです。このような欠陥は、適切なコード解析で簡単に発見できます。しかし環境が万全の状態ではない時、この欠陥を見つけるのは非常に難しいのです。そのような攻撃は、最終的に機密データの消失に至る損害を与えます。ターゲットコンピュータ全体のコントロールさえアクセスされてしまうのです。

 

3.機密データの暴露

一部の権限のない人がユーザーの機密データにアクセスするとき、この問題が起こります。通常、機密データの暴露は保護されていないデータがサイバーエンティティ間で転送されたときに起こります。しかし、データがやり取りされていない時に起こることもあります。攻撃者はデータのハッキング、または傍受ができます。このような攻撃の原因は暗号化の欠乏です。あなたの組織のデータがきちんと暗号化されていなければ、全世界へデータの露顕に直面するかもしれません。

 

4.DDoS攻撃

DDoS(サービスの拒否)攻撃はこのリストの中で最も迷惑なものです。このような攻撃はターゲットのサーバーがクラッシュするように大量の通信データで氾濫させます。DDoS攻撃で関係しているITチームの注意をそらし、もっと恐ろしい攻撃が仕掛けられることもあります。攻撃方法は日々進化しています。適切な措置を施さなければ、多くの企業がデータだけではなく、顧客さえ失うことになります。

 

5.ソーシャルメディア攻撃

現在、ソーシャルメディアへの攻撃が横行しています。攻撃者がソーシャルメディアの内容を使って、マルウェアを配布するか、機密データを盗みます。この攻撃の恐ろしい点は、限られた時間で簡単に攻撃の影響を広げることができることです。このような攻撃者は、ソーシャルネットワークの脆弱性を利用するために、常に工夫を凝らしています。

 

おわりに

上記の攻撃は、現在サイバー界に存在するいくつかの最も脅威的なものです。しかし、このリストは決定的でも包括的なものでもありません。他にも不完全な認証、セッション管理とセキュリティの形状不良という可能性があります、しかし、ここで我々は最も一般的な脅威だけを抜粋しました。

2946924_m-750x410

フィッシングゲームキャンペーンを
あなたの会社に導入

セキュリティにおける最重要事項のひとつは素晴らしいトレーニングプログラムを持つことです。従業員は最強または最弱の結びつきになれます。会社の資産を守るため従業員にフィッシング攻撃をどのように応用するか教える必要があります。現在、大抵の攻撃は簡単に見分けられます。しかし、攻撃者たちは常に腕に磨きをかける為、攻撃を受ける一般の人により検出することが難しくなってきています。日々のトレーニングにフィッシングゲームを導入する事はeメールセキュリティを楽しくかつ能動的に教える効果的な方法です。

 

フィッシング攻撃を報告してくれる人に報いを与えるという考えがこのゲームの背景となっています。偽のeメールアドレスからフィッシングツールを使って攻撃を発信する。また、本物の攻撃を見つけた人には報いを与えることもできます。まず、何項目か攻撃を選び配ります。検証グループ人数を均一に4つに分けます。もし、ご自身の会社に200人の参加者がいれば1グループにつき50人となります。試しに第一のグループには1通か2通のeメールフィッシングを送信します。攻撃は一か月間の期間を置いてそれぞれのグループに与えます。

 

もちろん賞品をもらうためにメールをキャッチして報告をくれる人がいますが、ゲームの中で役に立つ情報をゲットできるようeメールに記録機能をつけておきます。eメールのリンクがクリックされると記録されます。もし、リンク内で個人情報など入力した人がいれば注意をする必要があります。リンクをクリックする人の数や、リンク先のフォームに入力する人を追跡することはとても重要となってきます(銀行やアップストアのログインまたはソーシャルメディアであるかのように思わせる)。

 

素敵な賞品を用意してください。ただの飴や鉛筆では意味がありません。ギフト券、無料のコーヒー、食べ物またはオフィス用品を贈るのもいいかもしれません。ゲーム終了時、内容がしっかりしたメールを全員に送信し、中身を見て最初に報告した人を確認します。誰にも言わずに送ってください。最初に返信した人は最高の賞品をもらいます。価値あるもののため、頑張る事と引き換えに従業員のeメールフィッシングに関する認識度が全般的に高められます。

 

ゲーム終了後、その成果を知らせ、次回はよりよい結果が出せるよう意欲を高める工夫をします。これをトレーニングプログラムに取り入れることで従業員が気づかない間に会社の全般的な認識度が向上しています。2回ほどのセッションを経てクリックされたフィッシングeメール数の減少とセキュリティシステムに送られた報告eメール数の上昇が分かるはずです。色々な方法でこのゲームを応用できます。好きなようにルールや賞品を設定できます。

 

ゲームを通して学ぶアイディアは大人にとっても知らず知らずのうちに意味のある学習ができ、実生活において同じようなシチュエーションに出会った時に応用する助けとなります。彼らは学んだ事を分かち合いたくなる。なぜなら、学んだ事が会社の全般的なセキュリティに貢献できるということを自ら証明したくなるからです。全ての攻撃は止められないということを覚えていてください。しかし、フィッシング攻撃を扱う上で「直感が大事」だと会社に強調することが最も安全な攻防方法と言えるでしょう。

14405412_m-750x410

どのセキュリティ資格を
取得すべきか?

大小に関わらず、世界中でサイバー攻撃の頻度が増え続けています。セキュリティ関連の有効な情報、技術そしてセキュリティの専門家が求められます。全ての企業団体は絶えず熟練のIT専門家の助けを借り、容易にセキュリティネットワークや全ての攻撃を妨害できるものを探しています。

これはITやセキュリティの専門家にとっては数多の好機です。しかしながら、簡単ではありません。なぜならITとセキュリティの専門家への需要が高まっている為、IT関連会社への就職を希望しているとすれば、競争率の激しい状況が予想されるからです。

ひとつ言えることは、履歴書などに適正な資格を記載することで他の志願者と差別化できることです。一番良いものを見つけるために、もみ殻から小麦を取り去るように本当に役に立つセキュリティ資格のみを厳選しました。

 

プロジェクト マネージメント プロフェッショナル(PMP)

この資格は、プロジェクトマネージメント協会(PMI)が認定しているもので厳しいトレーニングと実務が求められます。この資格の応募要項として4年の修士課程取得の上、3年程度のプロジェクトマネージメントに関わる仕事に携わる実務経験が必要です。その中に4500時間の一級プロジェクトと35時間のプロジェクト管理研修が含まれています。PMPは決して簡単なコースではありませんが、取るに値するものです。今日では、あらゆる大企業においてプロジェクト管理能力のあるIT専門家が求められています。

 

プロジェクトマネージメント認定(CAPM)

PMIが提供する資格の一つで、PMP同様ではありますが、CAPMでは求められるプロジェクトマネージメントの経験数は少なめです。CAPMの場合は少なくとも2級の資格所有者であることと、1500時間のプロジェクトマネージメント経験または23時間のプロジェクト管理研修が必要です。CAPMはさらにレベルの高い資格を取得するにあたり基準となるものでありながら、新人に役立つ少し努力を要する資格です。

 

認定事業再生士(CTP)

ITの専門家や採用側が最も求められているスキルの一つは様々な通信手段を統合したシステムと技術です。総合通信技術の導入は骨の折れるような仕事です。CTP認定を持つことはあなたが確かな発言、情報とスキルの所有者であることを証明します。

 

情報セキュリティプロフェッショナル認証資格(CISSP)

CISSPは長年のトップの座を誇る資格の一つです。IT専門家として賃金を決定するうえで大きく作用する資格です。この資格は8項目、6時間に及ぶ試験合格者に提供されています。

 

シスコ技術者認定(CCIE)

CCIEは2時間の筆記試験と8時間の実技試験で構成され、最も難易度が高くかつ挑戦的な資格の一つです。取得する難しさがこの資格の評価を高くしている要因の一つです。CCIEに含まれる専門分野はデータセンター、コラボレーション、セキュリティ、ルーティング&スイッチング、サービスプロバイダー及びワイヤレスがあります。

 

まとめ

この記事では、セキュリティ認定を所有する重要性また、どのような資格を履歴書に記載すれば他との差が付けられるかについて提案しました。

41781161_m-750x410

ランサムウェアのよくある質問、一体何が起きているの?

ランサムウェアは報道でも注目を集めています。正直、理解しやすいストーリーです。組織はウィルスにやられてロックされた情報を取り戻すために身代金を支払う。まるで映画の筋書きです。しかしこれは現実です。終わりは見えず、誰にでも起こり得ます。

このようなことに対処するために、まず問題点をしっかり理解することが重要です。ランサムウェアについて理解するにあたり、初めによくある質問をいくつか挙げます。

 

誰がランサムウェアを拡散させているの?

犯罪者です。いくつかのケースは大きな犯罪ネットワーク、その他小さな組織がらみのケースもあります。しかし、マルウェアの根源は犯罪で得られる利益にあります。

 

誰を狙っているの?

ターゲット層が幅広いケースがあれば、限定しているケースもあります。例えば、マルウェアの目的はボットネットを作る、または暗号化されているランサムウェアを拡散させることであれば、ターゲットは広範囲にわたり特定のOSを持つ全ての人です。一方で、特定の企業の有益な情報が狙われている限定的な場合、その企業組織内の特定のユーザーがターゲットになります。

 

このような攻撃を受ける確率は?

非常に高いです。毎週、すべてのシステムは何らかのマルウェアを仕掛けられています。ほとんどの場合マルウェアのターゲットは別のOSか既に修復されているシステムの脆弱性を狙っているのです。しかし、メールとWebアクセスを通してユーザー達は常に攻撃されています。

 

ランサムウェアを防ぐために何ができるでしょうか?

クラウドベースのセキュリティを使って最も一般的な攻撃経路であるWeb、メール、エンドポイントの3つをカバーします。ユーザーがフィッシングやその他の詐欺を回避できるように定期的にユーザーを訓練しましょう。全てのオペレーティングシステムやソフトウェアパッケージのアップデートを行いましょう。

 

あなたの組織が一度攻撃されたらどうするべきでしょうか?

まず最初にインターネットやネットワークから感染した可能性のあるシステムを切り離します。全てのファイルを物理的なメディアから転送します。次にシステムをスキャンし脅威を取り除きます。3番目にシステムの再起動と再スキャンをして脅威が除去されたことを確認します。4番目、まだ対応していなければ、エンドポイントのプロテクションをインストールします。5番目、システムのパスワードを変更します。6番目、OSとソフトウェアのメーカーから全てのセキュリティアップデートをインストールします。6番目、ネットワークに再接続します。7番目、キーロガーによって今まで入力したパスワードが危険に晒されている可能性があるので、すべてのオンラインパスワードを変更します。最後に、異常なシステムの作動を監視し続けることです。

17423489_m-750x410

内部侵入テストのためのおすすめ製品とツール

Bengでの漏洩事件はセキュリティ専門家に起こりうる最も恐ろしい事件の一つです。このような事態に備えるための最善の戦略は、実際に自分でハッキングを行ってみることです。システムに対する侵入テストの実行を外部の業者に頼むにしても自分でするにしてもです。脆弱性がどこにあるか、それをどうやって修復するかを完璧に知っていることがセキュリティにとってのベストプラクティスになるのです。以下に、脆弱性テストのためのよいソフトウェア製品とツールのちょっとしたリストを挙げます。

 

Burp Suite

Burp Suiteはこの市場では最もよいとされるWebの脆弱性診断ツールです。Burp Suiteのツールの一つであるIntruderは、ユーザーが選択したWebサイトに対して完全なペイロードでの攻撃を開始させます。もしも包括的なツールをひとつ入手して、それを学ぼうとするのだったら、これがよいでしょう。

 

Acunetix

Burp suiteを使うだけの時間もリソースもない場合は、Acunetixを選ぶことが次善の策となります。Acunetixはとてもよいウェブの脆弱性診断ツールです。SQLインジェクション攻撃、クロスサイトスクリプティング攻撃や他のハイエンドな脆弱性などが攻撃に対して無防備になっていないか、またはデータを損失していないかを自動でスキャンします。このツールは多くのオプションがありますが、とても簡単に使えるようになります。好きなように専門的なレポートを作成する機能もあり、Acunetixは脆弱性診断ツールの内でも業界を代表するものとなっています。

 

John the Ripper

John the Ripperは古くからあるパスワードクラッキングツールで膨大なライブラリを元に動作します。WindowsやUNIXなど多くのオペレーティングシステムでの互換性があります。これはBIOSから直接起動し、簡単に使えるツールで、侵入テストを行う人にとっては必携のツールです。

 

Metasploit

Metasploitは広く使われている脆弱性を利用するツールです。このツールはウェブスキャナツールで発見した脆弱性を攻撃するのに必要になります。Metasploitは侵入者の発見にも大きな効果を発揮します。アンチフォレンジクス製品もあり、このキットは会社ごとのニーズに応じたいくつかの異なるダウンロードオプションを備えています。

 

Wireshark

Wiresharkはパケット取得ツールで、ハッカーが所持可能なツールの中でも、とても役に立つものです。ある開始地点から、特定の範囲の通信全てのフォームをスキャンして取得するものです。複数のオペレーティングシステムに対応しており、ターミナルとGUI両方で動作します。Wiresharkは無料でオープンソースのパケットアナライザです。

 

たとえ外部に侵入テストを頼んだとしても、テストの手法を学び、理解することは有益です。これらのツールのことを学んでおけば、外部のテスターが正しく仕事をしているかを確認し、二重のチェックができるようになるでしょう。脆弱性を修正するときにもまた、誰かにそのテストを頼んだときに発生する費用を節約するために、自分自身でテストを行うことも可能です。

 

セキュリティの分野でよく使われている侵入テストツールのほとんどは無料か、または無償トライアルがあります。小規模ビジネスや小さな会社のセキュリティ担当者には、侵入テストスイートをレパートリーに入れて適応し、より知識を高めることを、強くお勧めします。

3178874_m-750x410

必読セキュリティブログ、トップ10

業界の最新情報を敏感に察知し知識を取得することは、セキュリティ分野で働くプロとして必要かつ当然な役割です。以下にご紹介するブログ/ウェブサイトは、それぞれ著者やトピック面で工夫を凝らしています。これらのサイトで毎日・毎週新しい知識を取得し、セキュリティ分野における認識をより深めることをお勧めします。

Threat Post- 業界における新しい脅威に関する情報が毎日更新されています。AndroidやAppleモバイルデバイス、マルウェア、そして海外の攻撃などが取り扱われています。他のブログ投稿と同様、多くのカテゴリを扱っています。

Threat Level- デザイン、科学、文化、そしてビジネス等のかなり幅広い範囲を取り扱っています。セキュリティ関連情報を、いろいろな角度から提供してくれます。

Krebs on Security–しばしば独断的とも思えますが、このサイトの運営者Krebs氏の意見は通常正確です。Krebs氏一人で運営され、セキュリティそしてビジネスの両面からいろいろなトピックをかなり深く突き詰めています。

InfoSecIsland- 情報セキュリティにおける広範囲のトピックを取り扱っています。日々起こるニュースの提供、そしてセキュリティのプロが日々取り組む様々な事柄・問題について語ります。業界での傾向を調査するに役立つリソースです。

CNET- シンプルで、細かくかみ砕いたフォーマットで記事を提供し、誰が読んでも理解できるようになっています。セキュリティ分野で仕事を始めたばかりの人、そしてテクノロジーに一切関わりの無い人にも分かりやすいフォーマットでセキュリティ関連の基本的新情報を提供しています。

Govinfosecurity- 政府関連のセキュリティ情報に関する優れたリソースです。このウェブサイトでは、政府におけるセキュリティ関連職の採用情報も提供しています。

Securityweek– 最も人気のあるブログの一つと言えます。情報セキュリティ特化する著者たちがそれぞれ得意分野について書いています。マルウェア、サイバー犯罪、モバイル、リスク&コンプライアンス、アーキテクチャ、そしてマネジメント等、実際に情報セキュリティの現場で活躍するプロたちが、色々なトピックについて記事を提供しています。

Security-science- 様々な白書からの情報が盛り込まれ、信用のおける価値ある情報を提供します。また、hackopedia、base64 エンコーダー/デコーダー、そしてアノニマイザーと言ったサイトに関連する価値あるツールやリソースを提供します。

Dark Reading- かなり多様なトピックを数多く提供し、一か所でセキュリティ関連情報がなんでも手に入るワンストップショップと言えます。話題のトピック、そして現在発生している事象、攻撃/侵害等の情報を提供をするセクションがあります。

Iron geek- ブログと言うより、リソースと言った方が適しているでしょう。このサイトでは、米全国で開催されたセキュリティ関連カンファレンスのビデオを掲示しています。年に一回しかカンファレンスに参加できない人々にとっては、無料でカンファレンスを見ることができる貴重なサイトです。

 

上記ブログの内一つだけあるいはすべてを利用するに関わらず、評判の良いウェブサイトを毎日訪れ、インフォメーションセキュリティ関連の最新情報を敏感に察知する習慣を身に着けるようにすることをお勧めします。