BSA
情報セキュリティー(Information Security) †
要約 †
- トランザクションセキュリティのために使用されるのと同じ技術の多くは、ほとんど効果的ではないけれども、情報のセキュリティのために適合させることができる。
- 情報セキュリティを理解するために、「誰かが私のすべてのファイルやデータベースへのオープンアクセスを持っていたどのような場合はどうだろうか」と自問しなさい。データが暗号化されていてデータベース内または同じシステム内のファイルに暗号化キーを保存した場合には、ハッカーはそれを復号化するための鍵を持っていることになる。アプリケーションによって管理されるデータベースやファイルシステムの外にこれらのものを保存することができ、そうすべきことではあるが、これは悪夢となる。また、他のシステムはしばしばこれらのデータを操作するので、暗号化によって目的を果たせなくなる。
- 結果として、情報セキュリティへの主要なアプローチは、アクセスされた情報を保護する必要はないが、しかし最初の場所でそれへのアクセスを防止することだ。これを行うための主なツールは、ファイアウォールや侵入検知ソフトウェアなどのネットワークツールや、パスワードポリシーチェッカーなどのユーザー管理ツールだ。
- パスワードのセキュリティは、それ自体が興味深い領域だ。多くの企業がデータベースの代わりにパスワードを保存することはない、ダイジェストアルゴリズムを実行し、ダイジェストのみを格納する。パスワード自体が存在しないので、ハッカーは完全なパスワードのデータベースを盗むことができない。残念ながらそれはまた、ユーザーがパスワードを失った場合にあなたができる最善のことは新しいパスワードを生成するだ。
- 別の技術は、ローカルファイルシステム上のサーバーから到達できるが、インターネットからは到達できない内部システムにパスワードを保存することだ。ハッカーがパスワードを取得しようとしている場合、まずは外側のシステムに侵入する。侵入検知システムは、多くの場合、このような試みを阻止することができる。
- 情報セキュリティが考える一般的なことの1つは窃盗だ。デジタルの世界では、要するに違法に別のコンピュータにコピーすることだ。またハッカーが優位を得るために、データベースに格納されたデータを変更する「セマンティック攻撃」が増加している。一見害が少ないように見えるが、銀行口座を変更したり、信用履歴を変更したり、投票を変更した場合はすまされない。
- 情報セキュリティは、システムアーキテクチャをガイドする必要があるが、自身のツールを書くことを試みてはならない。そのためのすでに利用可能な多くの優れたものがある。
