ネットワークビギナーのための情報セキュリティハンドブック　内閣セキュリティセンター（NISC）で気になった箇所まとめ

keijitakeda @keijitakeda

微妙な記述が所々にあるなぁ。しかしこれまだ１章だけなのか。→ 情報セキュリティハンドブック　内閣セキュリティセンター（NISC） nisc.go.jp/security-site/…

keijitakeda @keijitakeda

「総当たりを防ぐには、難易度を 上げ、解明にかかる時間を膨大に するのが一番の防御手段で、」→サーバーで試行回数制限すべきでは？ 「パスワードは少なくとも英大小文字+数字+記号で 10 桁」→ どういう脅威を想定しているのか？ハッシュ解析？

keijitakeda @keijitakeda

「同じパスワードを使い回さない。似たパスワード、法則性のあるパスワードは×」 → 普通無理では？

keijitakeda @keijitakeda

「ブラウザの自動入力にパスワードを覚えさせない」→ そうなんですか？

keijitakeda @keijitakeda

「パスワードを管理する手帳に書いてパソコンとは別に管理する方法、もう一つはスマホのパスワード管理アプリで管理する方法」→ パソコン上のパスワード管理ソフトはダメですかね。

keijitakeda @keijitakeda

どっち？→「クラウドでデータを保管する機能や、セキュリティホー ルが発見されたアプリは利用しな いことをおすすめします。」「クラウド保管=ダメというわけではなく、それは利便性との兼ね合いです。 また鍵は二人が持っているより一人の方が安全ということです。」

keijitakeda @keijitakeda

「秘密の質問にはまじめに答えない。」→ そう言う考え方はあると思いますが、その答えを忘れたらどうするのでしょう？

keijitakeda @keijitakeda

「複数の要素を使っ て認証する二段階認証や多要素認 証といった方法があれば活用しま しょう。」→ 細かいことですが、ときどき二段階認証と二要素認証を区別しないと怒る人がいるので気をつけた方がいいかもしれません。

keijitakeda @keijitakeda

パスワードの定期変更に言及しない努力の跡は見られましたが、他の議論の余地が多い対策について確定事項のように書かれている部分が複数みられるように思いました。まぁ、こういうのを突っ込もうと思えばいくらでも突っ込むことはできるかと思いますので大変かとは思います。