- ベストアンサー
急造ハッカーを命じられました・・
急造ハッカーに任命されたのですが、どこから手を付けてよいのかわかりません・・ この度社内ネットワークのセキュリティ担当に任命され、最初の仕事として、自社ネットワーク環境強化の必要性について役員の前でプレゼンすることを 命ぜられました 具体的に何をやらなければならないかというと、 ・外部から自社サーバを踏み台にして他のネットワークに潜入する ・外部からIDやパスワードをクラックして、ファイル等を不正取得する ・その他、ネットワークセキュリティの脆弱性に起因するクラッキング事例をいくつか これらを、検証用ネットワークを構築して目の前でやって見せ、脆弱なセキュリティが如何に危険かについて経営陣に実感を 持ってもらおうという試みです。 ただ、私のバックボーンはシステム屋といっても業務系システムのコンサル&概要設計が中心で、セキュリティやOS、プログラミングと いった部分については素人同然です。また、小さい会社ということもあり教えを請えるような詳しい人間もおらず、また限られた時間の中、 私が独力でどこまでできるか試されてるふしもあります。 その勉強に使える時間をほぼ1ヶ月もらいました。1ヵ月後のプレゼン成功に向けどこから手を付ければよいのかだけでも アドバイスいただけないでしょうか?よろしくお願いいたします。 【周辺情報】 PC経験:10年 プログラミング経験:COBOLを100本程度 UNIX経験:なし 社内サーバ:ほぼLINUX
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
あなたが社員なのか請負屋なのかは不明ですが、そういうことをやろうと企画された会社の体制そのものがセキュリティホールのような気がします。 プログラマーあがりのネットワーク会社さんや情報担当者によくありがちなのですが、セキュリティ対策をなんでも理詰めで考えようというのは間違いです。 多くのクラッカーな人たちは、セキュリティの脆弱性そのものの技術的なハッキングよりも、それを放置していたり、電話などのソーシャルハッキングによる手段を重視します。 会社の役員説明で技術的説明をするのであれば、LinuxでもWindowsでも仮想的なハッキングしやすい環境をつくってみせれば理解できることですし、それよりもそういう環境を放置しておくことや、個人情報保護法やプロバイダ責任法などの法的な会社責任の問題、セキュリティポリシーをどう会社組織や社員に可及的速やかに実施するかに論点を置いた方がよいと思いますよ。 我が国の某N県では、住民情報が守られないからと米国からハッカーを雇って、村役場からWindowsの脆弱性をハッキングをさせて喜んでいた頃がありました。 結果は村役場の端末に侵入できれば危ないというものでしたが、住民は「じゃあ侵入できないようにすればいいだけじゃん」と思っていましたし、実験そのものはそもそも住民情報保護路論者の発案だったこともあり、後からみて短期的にはシステム屋さんのセキュリティ意識を高めることには役立ちましたが、住民情報を全国的にやりとりするという事業の全体には影響を与えませんでした。 それどころか他県で受けられるサービスがその県では受けられるのに1年もかかったという落ちつきです。 こういった先人の事例も参考にしていただいて、プレゼンを成功されることをお祈りしております。
その他の回答 (1)
- kuma-ku
- ベストアンサー率54% (1558/2845)
おはようございます 正直なところ、無理とは言わないですが厳しいですよ。 「検証用ネットワークを構築して」 「UNIX の経験がない」 とありますが、ひょっとしてLinux のインストールから 始めなければいけないのでしょか? となると、、(絶句)。 既に稼動中の試験用サーバがあれば、 ネットワークに疎い役員へのプレゼンには、 接続される踏み台用サーバでTelnetd を起動させ、 外部からTelnet 接続することで説明できるとは思いますが、これ以上のことになると、厳しいです。 そもそもですが、このような公共の場所で、 どうこう伝えられるような内容でもないですし、、、。
お礼
コメントありがとうございます。 本質的な理解というのは少しおいといて、環境整備&プレゼンでの実演及びそれを実行するに足る最低限の 知識習得を1ヶ月で何とか、と考えていたのですが、少し甘かったようですね^^もう一度話をしてみることにします。 また、言われてはじめて気づいたのですが、確かにこういう場でそれを聞くということは、不適当な情報を ばら撒いてしまうことにも繋がりかねませんね。申し訳ありませんでした。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
コメントありがとうございます。 確かに仰るとおりだと思います。こういった問題は技術的な側面だけで成り立つものではないですよね。 ただ意思決定者の興味が、こういった問題の取り上げられ方一つ取ってみてもある意味仕方のないことだと は思いますが、どうも技術的な方向に向いているもので、まずそこを実演して納得させようと言うのが現在の 方針なんですね。 アドバイスを受けてプレゼンの内容も考えてみることにします。