拾ってきたUSBメモリ?telnet?っていうのは縄文時代の話。

まず、最初に言っておくが、現在はどこの会社や組織でも、道端に落ちていた、などという、得たいの知れないUSBメモリなどを自分の私物や会社のPCなどに差し込んで使う、ということはまずない。現在の役所では、インターネットの閲覧はできるけれども、メールは専用のメールシステムを使って、外部から来るメールに書かれているリンクなどで問題がありそうなものは、予めチェックしてから実際のPCを目の前にしているユーザーのところにそのメールが届く、などの予防措置をとっているところがほとんどだ。ある役所のPCに至っては、問題が起きないようにUSBの口さえない、という「特別仕様機種」を使っているところも多い。

さらに、Web閲覧中のリンクのクリックも、そのままリンク先のページが表示されることはなく、一度セキュリティシステムが入っているproxyサーバーを通って、そのURLが改変されており、問題のあるURLであれば、そもそも直接にはクリックできないようにしてある、というところもある。日本のみならず、そういうセキュリティの施策は、まともな組織であれば、現在は当たり前に普及している。

加えて、規則で、私物のPCなどのデータを会社に持ってくることなどは厳禁、その逆も厳禁、USBメモリなどの会社への持ち込みも厳禁、という職場は増えた。その代わり、会社などの組織のシステムそのものをクラウド上に置き、自宅からも、会社からもそのクラウドのシステム上で仕事ができるようになっている、という仕組みが増えた。この方法であれば、どこかでウィルスなどに感染しそうになっても、その影響を阻止することができ、最悪でも、ウィルスやスパイウエアの影響の及ぶ範囲は、その人が使っている自宅のPCと会社で自分が使っているPCのみになる、ということも多い。

要するに、現在あれこれとセキュリティの問題の具体例、と言うものを書いている書籍も多いが、どれもこれも、ひと時代前のものが非常に多い。これでは意味がない。特に「IoT家電の感染」などの話はよく聞かれるが、いまどきtelnetdを立ち上げているIoT用のコンピュータそのものが皆無に等しいうえ、開発する現場でもこのあたりのことは最初に注意を促される。IoTというよりも、電子工作のおもちゃのCPUボードであるRaspberry-Piのシリーズでは、その最初のチュートリアルに、必ず「最初にデフォルトユーザーpiのパスワードは必ず変更すること」と書いてある。しかもtelnetはつながらず、sshが使われている。それに従わない、ということは、セキュリティのリスクをより多く抱えることになる、ということはRaspberry-Piのユーザーでは当たり前のことになっているからだ。

「ハッキングの手口を知るためにハニーポットを作ってみました」

という話もよく聞くが、専門家であれば、「それって意味ない」ってことがわかるような話だ。そのハニーポットのレベルの低さがわかる。同じ作るなら、もうちょっとレベルの高いものにしてくれないだろうか?といつも思うのだ。

個人の自宅での仕事も安全にできるようにしたクラウドシステムの「キモ」は、クラウドのシステムに入るためのIDとパスワード、そしてアクセス元のIPアドレス制限などの制限事項だ。にわかの専門家が多すぎるなぁ、と、思うのだ。