ーーホワイトハッカーとは
デジタルインフラが普及し、IT化の波が押し寄せる現代社会において、セキュリティ知識に詳しい人材は重宝されます。
その中で特に注目されているのが「ホワイトハッカー」というIT職です。
ハッカーと聞くと悪いイメージを持たれる人も多いですが、社会的な正義や倫理観に基づき、善意でハッカーをしている人もたくさんいるのです。
「ハッキング」という言葉は、PCやデジタル作業に携わったことのある方なら、かなり馴染みが深いと言えます。
相手のサーバやネットワークに無断で侵入するもの、悪質なウイルス攻撃をする人・・という認識が一般的だと思いますし、そのためにセキュリティソフトの導入やサーバーへの不正アクセス検知など、網羅的に対策している人が多いでしょう。
ホワイトハッカーは、そのハッカーの攻撃する意図や手順、目的などを逆利用し、自分が自分でハッカーから身を守るというもの。
いわばセキュリティ上での護身術に近い存在と言えますね。
ハッカーは手を替え品を替えあらゆる方法を用いて我々のサーバやアクセスに無断侵入してきますが、そのハッカーの攻撃の手口や意図を知れば、どのようにコンピュータの脆弱性をついてくるのか、どの情報を参考にするのかなど、事前に対策も取りやすくなります。
そこで私はホワイトハッカーの知識を身につけ、IT知識を深めていきたいと思いました。
IT分野はそれなりの知識や専門性が求められ、生半可な気持ちで臨んではいけないものです。
特にハッキングそのものは違法ではないのですが、時と場合により法に触れる可能性もあるので、グレーとブラックの線引きができるくらいの倫理観がなければおすすめは致しません。
倫理観というのはこの場合、「ハッキングを是としない気持ち」。
ハッキング行為に味を占めて違法なことに手を染めてしまうと、正義感に則って目指したはずのホワイトハッカーが本末転倒なものになってしまいます。
あくまで「法に触れない範囲でハッキングを実行すること」。
ハッキングはどこまでがグレー行為か、ブラックとの線引きをはっきりつけておくこと。
絶対にハッキングを悪用しないぞ!という強い自制心を持つこと。
この3つが主に重要となってきます。
そこで私が手に取った本が、阿部ひろき著書の「ホワイトハッカー入門」です。
私はIT知識がなく、1日中PCの画面と睨めっこしているだけの駆け出しですが、実はITに関わる分野(特にプログラミング)には大いに関心があります。
httpやドメインなどの後に続く複雑な文字列やコードを見ても気負いなんてしませんから。
むしろ好奇心が膨らむばかりです。
早速、昨日届いたホワイトハッカー入門書を70ページまで読み進めました。
最初はホワイトハッカーの定義や目的など初歩的な解説文が続き、その後、ハッキングの手順などを細かく説明する・・といった文章構成です。
本当にIT知識のない方であればこの本ですら難解に見えるかもしれません。
私も途中から理解が追いつかなくなり、ハッキング行為に至るまでの手順を1から網羅するのは難しいと感じました。
一応、自分なりの私見を交え、この著書の要点や伝えたい部分などをまとめていきますので、少し長くなりますがお付き合いください。
ーー情報セキュリティとは(2〜8)
情報セキュリティの前に、情報リテラシーについて解説していました。
ハッキング行為に遭わないために、我々一般人が取れる最大限の対策を、情報リテラシーを通じて学んでいく。
ネットワークを使ったサービスには、ありとあらゆるリスクや危険性が伴います。
それが常に安全に保たれているか、それを一般人が確認する機会は少ないです。
現に私もそうですし、なんかのアプリを落とすたびにスマホのiOSが最新に保たれているかどうか、パソコンを再起動する際にデータ消去を防ぐためにバックアップをとっておくなど、そんな入念な確認などしていません。
また、怪しげなサイトを見つけても上に記載されているドメインやURLなどの文字列は気にも留めません。
つまり、なんとなく惰性でネットワークを利用している、というのが現状なのです。
本書はそんな危機管理意識のないPCユーザーに対して警鐘を鳴らしていました。
情報セキュリティとは以下の「CIA要件」と呼ばれる3つの構成要件から成り立つものと定義されています。
・Confidentiality(機密性)
・Integrity(完全性・整合性)
・Availability(可用性)
この3つの要素が作用し合うことで、情報セキュリティは安全に保たれることを伝えています。
本書では宝箱を例に出していました。
宝箱には鍵がかかっているかどうか(=機密性)
宝箱の中身がすり替えられていないか(=完全性・整合性)
宝箱を本人だけが開けられるようになっているかどうか(=可用性)
つまり本人だけが開けられる宝箱、という唯一無二性の存在を担保するのです。
そこに外部から宝箱を開けようとする人がいればセキュリティが脆弱ということですし、本人以外が容易に開けられるようになっていればセキュリティ対策がガバガバということ。
宝箱に入っているものは貴重な財産です。
IT表現で例えるなら、我々ユーザーが保有している「情報資産」です。
その資産はクラウド上に保管され、どの情報も同じ場所に管理されているわけではありません。
もし資産の全てを同じクラウド上に一元管理すれば、情報漏洩したときのリスクは一気に高まりますし、情報は分散させることに越したことはないのです。
そのようなクラウド上に保管された情報は、それぞれ別の運用や監視により、アクセスできる仕組みとなっています。
情報セキュリティを良好に保つには、それぞれのクラウド上に保管された情報を運用し、適切なセキュリティ対策をしておくことが重要です。
これを「DID(多層防御)」といい、それら全ての情報を作用させ、情報を管理していくこと、それを「セキュリティポリシー」と言います。
・脆弱性? 脅威? リスク?
脆弱性はコンピュータが動作不良を起こしたりクラッシュしたりする、いわゆるコンピュータの欠陥やバグのことを指します。
IT世界では聞き慣れた言葉ですが、実はこれはPC上のトラブルであったり、人為的なミスがきっかけで引き起こされるバグのことも指すので、必ずしもハッキング行為そのものが脆弱性に該当するわけではありません。
その脆弱性につけ込んでPCの状態を危険に晒すこと、それが紛れもない「脅威」なのです。
脅威はそのハッキングで引き起こされるであろう自分の被害度に応じて、「適切なリスク管理」をする必要があるのです。
リスク管理とは、自分がターゲットにされやすい脆弱性システムの改善を図り、ハッキングされにくい環境を作ることを指します。
もし全方位セキュリティに対策をしてしまうと、今度は実害のリスクは減るものの、セキュリティ対策に伴うコストばかりが膨らんで、とても割に合わなくなります。
あくまで自分がターゲットにされやすい「リスク」を的確に捉えリスクヘッジをすることが重要になってきます。
そのためには、「自分の脅威となる脆弱性」を発見すること。
それがホワイトハッカーの目的でもあり、事前に取れるローコストかつ最大限の対策です。
※この記事は定期的に更新していきます。
ページを進めるごとに加筆されていくので、完成までにもうしばらく時間がかかります。