急造ハッカーを命じられました・・

Question

急造ハッカーに任命されたのですが、どこから手を付けてよいのかわかりません・・

この度社内ネットワークのセキュリティ担当に任命され、最初の仕事として、自社ネットワーク環境強化の必要性について役員の前でプレゼンすることを
命ぜられました

具体的に何をやらなければならないかというと、

　・外部から自社サーバを踏み台にして他のネットワークに潜入する
　・外部からＩＤやパスワードをクラックして、ファイル等を不正取得する
　・その他、ネットワークセキュリティの脆弱性に起因するクラッキング事例をいくつか

これらを、検証用ネットワークを構築して目の前でやって見せ、脆弱なセキュリティが如何に危険かについて経営陣に実感を
持ってもらおうという試みです。

ただ、私のバックボーンはシステム屋といっても業務系システムのコンサル＆概要設計が中心で、セキュリティやＯＳ、プログラミングと
いった部分については素人同然です。また、小さい会社ということもあり教えを請えるような詳しい人間もおらず、また限られた時間の中、
私が独力でどこまでできるか試されてるふしもあります。
その勉強に使える時間をほぼ１ヶ月もらいました。１ヵ月後のプレゼン成功に向けどこから手を付ければよいのかだけでも
アドバイスいただけないでしょうか？よろしくお願いいたします。

【周辺情報】
ＰＣ経験：１０年
プログラミング経験：ＣＯＢＯＬを１００本程度
ＵＮＩＸ経験：なし
社内サーバ：ほぼＬＩＮＵＸ

mtmonkey · Accepted Answer

あなたが社員なのか請負屋なのかは不明ですが、そういうことをやろうと企画された会社の体制そのものがセキュリティホールのような気がします。
プログラマーあがりのネットワーク会社さんや情報担当者によくありがちなのですが、セキュリティ対策をなんでも理詰めで考えようというのは間違いです。

多くのクラッカーな人たちは、セキュリティの脆弱性そのものの技術的なハッキングよりも、それを放置していたり、電話などのソーシャルハッキングによる手段を重視します。
会社の役員説明で技術的説明をするのであれば、LinuxでもWindowsでも仮想的なハッキングしやすい環境をつくってみせれば理解できることですし、それよりもそういう環境を放置しておくことや、個人情報保護法やプロバイダ責任法などの法的な会社責任の問題、セキュリティポリシーをどう会社組織や社員に可及的速やかに実施するかに論点を置いた方がよいと思いますよ。

我が国の某N県では、住民情報が守られないからと米国からハッカーを雇って、村役場からWindowsの脆弱性をハッキングをさせて喜んでいた頃がありました。
結果は村役場の端末に侵入できれば危ないというものでしたが、住民は「じゃあ侵入できないようにすればいいだけじゃん」と思っていましたし、実験そのものはそもそも住民情報保護路論者の発案だったこともあり、後からみて短期的にはシステム屋さんのセキュリティ意識を高めることには役立ちましたが、住民情報を全国的にやりとりするという事業の全体には影響を与えませんでした。
それどころか他県で受けられるサービスがその県では受けられるのに１年もかかったという落ちつきです。

こういった先人の事例も参考にしていただいて、プレゼンを成功されることをお祈りしております。

kuma-ku · Answer

おはようございます
正直なところ、無理とは言わないですが厳しいですよ。

「検証用ネットワークを構築して」
「UNIX の経験がない」
とありますが、ひょっとしてLinux のインストールから
始めなければいけないのでしょか？

となると、、(絶句)。

既に稼動中の試験用サーバがあれば、
ネットワークに疎い役員へのプレゼンには、
接続される踏み台用サーバでTelnetd を起動させ、
外部からTelnet 接続することで説明できるとは思いますが、これ以上のことになると、厳しいです。

そもそもですが、このような公共の場所で、
どうこう伝えられるような内容でもないですし、、、。

急造ハッカーを命じられました・・

あなたが社員なのか請負屋なのかは不明ですが、そういうことをやろうと企画された会社の体制そのものがセキュリティホールのような気がします。

おはようございます

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング