今年の初めに某団体の情報セキュリティセミナーに参加してきました。講師は札幌市内で活動されているITコーディネーターの方でした。そのセミナーの中で気になったところを記しておきます。
- https(SSL)は暗号化の仕組みなので安心?
そもそも論で言うと、SSLは暗号化の仕組みではなく接続先の正当性を証明するための仕組みです。だから、SSLを実現するために認証機関に発行してもらうデータをサーバー証明書というのです。そして、その仕組みに付随して通信の暗号化や改竄検知も実現されている形になります。最近だと、簡単にサーバー証明書を導入できるようになったおかげでフィッシングサイトのような偽サイトでもサーバー証明書を導入しているケースがあり、https=安心安全ではなくなっているので注意が必要です。 - httpsでの端末からのリクエストは平文で、応答のみが暗号化されている?
という説明をしていたのですが、それは誤りですね。この理屈で言うと、ログイン画面で入れたアカウント情報は平文で送られ、サーバーから返ってくるレスポンスが暗号化されることになりますけど、それでは全く意味が無いですね。リクエストも当然の事ながら暗号化されますし、レスポンスも暗号化されます。SSLの基本ですが、全く判ってない方が「情報セキュリティセミナー」の講師をしていることに絶望しました。 - ハッシュ化したものは復号できる?
パスワードをデータベースに保存する際に「秘密鍵を使って」ハッシュ化して保存し、戻す際には「公開鍵を使って」復号すると説明されていたのですが、そもそもハッシュ化したものは簡単には復号できないので、アカウント情報等を照合する際には入力された情報をハッシュ化し、ハッシュ化したもの同士で照合するのが一般的です。しかも、秘密鍵を使って暗号化し、公開鍵を使って復号するのは公開鍵暗号方式といわれるもので、一般的にはSSLで使っている暗号化方式です。ハッシュ化とは全く別物です。暗号化に関する基本的な知識を持ち合わせていない方が講師をしていることに絶望しました。 - それって情報漏洩なの?
設計情報を他社へ渡して元々契約していた会社を切るとか、共同開発をしていた会社から権利侵害で訴えられるとか、そういった話を情報漏洩の例として話していましたが、前者は著作権侵害だし、後者は契約内容の問題であって情報漏洩ではないですね。これも基本だと思うのですが全く判ってなくて聞いていて涙が流れてきました。
他にも、ドメインは1社につき1つしか持てないと説明されていたけど完全に誤りで、1つのドメインは1社(者)しか持てないが正しいですね。また、公衆無線LANを使う時は暗号化されているものを使わないと危険と言っていましたが、これも完全に誤りで無線LANが暗号化されていようが盗聴することが可能なケースも多くあります。
素人相手にセミナーするんだから適当で良いだろうと思っているのかもしれませんが、こうなると完全に騙しであって真っ当な有資格者が講師をするセミナーの内容ではありませんでした。実は、他にも札幌市内で活動されているITコーディネーターを知っていますが、今までに出会った方々は全て同程度のレベルの人達であって、経済産業省が期待する能力を持ち合わせた方に出会ったことはありません。
中小企業向けに情報セキュリティの啓発を生業としている人間としては、このようなデタラメなセミナーを実施されていることに憤りを感じます。
ちなみに、私が誤りを指摘した結果、元々無料だったセミナーは有料になった模様です。専門家が偵察で受講するのを排除するのが目的なのでしょうか?本来であれば正しい知識を持った人間を講師に立てるのが筋だと思うのですがねえ。
コメント