失敗から学ぶことは多いけど

ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応:ITpro

突っ込みどころ満載。Winでサーバ、FTPでコンテンツ管理、大規模サイトなのにパスワードはローカルファイルで管理、プログラムが3万本。「適切なセキュリティ対策を施してきた自信」がどこからくるもんなんだか。皆さん、そんなにセキュリティ対策をしてないもんなのね。

*NIXでサーバ、SCPでコンテンツ管理、認証は暗号化ディレクトリ、プログラムはバージョニングシステム、じゃないの、ふつー。やられた時のシステムの状況をもし自分がヒアリングしてたら思わず「ひでーですね」って言っちゃうと思う…。

去年連載でセキュリティについて書いた際、自分の感覚では基本しか書いてないと思ってたけど、そういうレベルのことも考えてないのが一般的なのかもしれないなぁ。

まあ、いつの間にかうちのサーバにも知らない人が住んでる可能性を完全に排除するのは難しいと思うけれど、パスワードは20文字超とか、SELinuxはEnforcingとか、ftp/telnetはscp/sshとか、そんなことだけでも違うと思うんですけどねぇ…。他山の石ということで、たまにはうちのもNessusをかけておくか…。

タイトルとURLをコピーしました