「やられたことがない方は、ほんとうの怖さがわかっていない」
そう思います。
だまされたことがある方と、ない方では、物の見方、人との接し方が違います。
システムセキュリティでも同様です。

私も、本当に真剣に勉強し始めたのは、勤め先で侵害をうけてからです。
そのとき、経験のなさ、知識不足、考えの甘さを痛感しました。
それまでも、セキュリティの書籍、雑誌、セミナーから勉強し、それなりに対策技術がわかっていたつもりでした。

しかし、事件発生時、役に立ちませんでした。一番頼りになったのは、経験者のアドバイスでした。

そこで、その後の経験を少しでもお伝えしたいと思います。

◎データベースを侵入されるということ

セキュリティの本、セミナー、対策ツールは、ほんとうにたくさんあります。
視角や、認定もあり、司法での対応もすすんでいます。
マイクロソフトも、次々にセキュリティ対策、強化のツールを提供しています。

ところで、その中から、しっかりデータベースを含むシステムに侵入されるということが、どういうことなのか、確認できていますでしょうか？
SQL Server のプログラミングに、ちょっとした脆弱性があれば、そこをついて、侵入して、どこまで実業務に被害が発生するのでしょうか？

たとえば、侵入者が、顧客テーブルの電話番号だけをこっそり書き換えて、詐欺行為をはたらいたら、それは、いつ気づきますか？ファイアウォールや IDSで検知できますか？

もし、顧客テーブルが書き換えられた可能性があるとなった場合に、データベースに正しい値が入っていると保障できる状態にするのに、何日の猶予がありますか？人件費はどの程度になるでしょうか ?　信用は？ 民事訴訟？ 刑事告発？

データベースには、たいていの場合、もっとも企業で重要なデータが保存さています。このデータが、セキュリティ侵害にあった場合にどのようなことになるかを考えて、システムプログラムの設計、開発、運用を設計する必要があります。

◎日々、事件は発生しています

コンピュータセキュリティの事件は、どの程度、発生していると思われますか？

実は、とても多くの事件が発生しているようです。ただ、車上荒らしや、泥棒と同じで、なかなか報道されることはありません。泥棒に入られたことそのものが信用にかかわること、コンピュータやシステムという性格上、被害や証拠が特定しにくいことなどです。

侵入者、ウィルス、ワームは、どんどん技術が高度になってきています。一方、
システムは複雑化していて、脆弱性の発見、問題発生時の対応がむずかしくなっ
ています。

◎ケーススタディから

実際に事件の経験から、SQL Server のシステムのセキュリティ対策、プログラミングについて、解説していきます。事件から、問題点を分析し、今後の対策をご紹介したいと思います。

このセッションを通じて、みなさんのセキュリティ対策を見直すきっかけが、ご提供できればと思います。

（2004/01/22）