授業雑感
この授業ではセキュリティにまつわる技術やリスク管理評価手法などを学んだ。
(実際に授業を受けたのは、だいぶ前なんだけどなんやかんやで今になってしまった。)
まず最初にソフトウェア、ネットワーク、プロトコル(SMTPなど)などからどのような脅威や攻撃手法があるのを学ぶ。
実際にVMを建てて、サンドボックス環境下で脆弱性を突くみたいな演習もあった。
特に実際問題として気になるのはメール周りのセキュリティ技術だろう。SPFやDKIMはやるとしても、DMARCまで抑えている企業は少ないと聞く。(実際にGmailは最近になって、ここらへんのビジネス利用要件が厳しくなったみたいだけど、昨今のニュースを聞く限りだと、国内企業はちゃんと対応しているのかは気になる)
セキュリティに関する脅威や攻撃手法を学んだあとは防御側、ファイアーウォールや暗号理論の入門部分を学ぶ。
暗号と聞くと小難しく感じるかもしれないが、対称鍵や公開鍵の理論が中心で、楕円曲線暗号など高度な数学の知識が要求される部分までは踏み込まなかった。
技術部分を学んだあとは、セキュリティリスクの評価と管理手法を学ぶ。
ここら辺は法律部分とかも絡んできて、教材や資料にある英文を読むのがかなり大変だった気がする。
色々な観点で学んでみると、不完全な状態ではあっても継続して評価、管理することは大事なことだと思った。
あとはよくある「~に気をつけましょう」とかは本質的な対策ではないということ。
システムや仕組みで防ぐというのがやはり大事だということだと思う。