LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#8

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その8。

8つ目の気づきは「安易な作業がトラブルを生む」です。

Hardeningの競技に参加する参加者は競技開始直後に前回ご紹介した「脆弱な初期設定」を修正するため、かなり焦って作業をしています。この競技開始直後の焦った状態での作業もまたトラブルを生んでいます。

あるチームは事前配布資料をよく読めば書いてあることに気付かず設定を削除してしまいます。本来削除してはならない設定を削除したことで減点対象になってしまいます。
またあるチームは焦って既存のアカウントを削除して、対象アカウントに届くべきメールが受信できないというトラブルにつながります。
またまたあるチームは既存アカウントのパスワードを変更したことで、パスワードがハードコードされたバッチファイルを使う業務を止めてしまいます。

日常の業務では

  • 事前に資料を確認してから設定変更する
  • 使用しているユーザなのか確認してから削除する
  • 重要な削除対象ユーザのメールはalias設定する
  • パスワード変更の影響範囲を調査する
  • バッチファイルにパスワードをハードコードしない

という当たり前のようにやっていることができていない場合、トラブルが発生しています。むしろ、本来の業務ではやるはずのないことを「Hardeningの競技で勝つためだけに」作業をやるユーザにトラブルが発生するようにシナリオがしっかり組み込まれています。kuromame6はあくまでビジネスに貢献できるエンジニアを育てたいと思っていますので、安易にほいほい作業するエンジニアが勝ち上がらないようにしているのです。

今更、私に言われるまでもないことですが、「安易な作業をしない」という基本に忠実にいきましょう。

次回は「事前準備と事後の振り返りが重要」を取り上げます。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#7

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#6

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#5