このサイトは学部では早稲田で物理を, 修士では東大で数学を専攻し, 今も非アカデミックの立場で数学や物理と向き合っている一市民の奮闘の記録です. 運営者情報および運営理念についてはこちらをご覧ください.

理系のための総合語学・リベラルアーツの視点から数学・物理・プログラミング・語学 (特に英語) の情報を発信しています. コンテンツアーカイブに見やすくまとめているのでぜひご覧ください.

最近, 異常な東京オリンピック委員会 (?) の
異常な人間達が特にセキュリティに関して
エンジニアをボランティアで動員するとかいう
異常な話をしていたようなので,
セキュリティが少しずつ本格的に気になりはじめている.

楕円曲線暗号のような話も気になるのだが,
インフラエンジニア採用時に必ずしなければならない質問という記事を見かけたので,
それを引用したい.

1 パスワードを設定する時の生成方法と桁数を答えて下さい。

いいかげんなパスワードを作らない人が良いでしょう。

2 インターネットに公開するLinux or Windowsサーバーを構築しました。最低限行うセキュリティ設定と確認方法を答えて下さい。

いいかげんなLinux or Windowsサーバーを構築されると世間に迷惑がかかります。
設定ができても、自分が設定した以外の確認も行える人が理想です。

3 あなたのパスワード管理方法を教えて下さい。

最近クラックされたソニー・ピクチャーズのパスワード管理方法がスゴかったようですね。

4 使用しているパソコンから離れるときにすることは何ですか？

これが実行できている人は滅多にいません。とても残念です。

5 ]あなたがパスワードを発行しました。相手にどうやって渡しますか？

ちゃんとして答えが返ってくれば安心です。

回答例がここにあったのでそちらも引用しておく.

1 の解答例
・mkpasswdなどパスワード生成ソフトを使う。
・10桁以上、英大文字小文字数記号を組み合わせたもの。
・辞書に載っているような語句は使わない。

2 の解答例
・全ポートを塞ぐ。サーバーで使用するポートのみ開放。
・サーバーには接続元IP制限をする。
・LinuxはSSHの鍵認証を使用する。
・LinuxはSSHのrootログインを禁止する。
・Windowsサーバーの場合はリモートデスクトップのAdministratorでの接続をできないようにする。
・Windowsのリモートデスクトップのポート番号を変更する。
・LinuxはSSHのポート番号を変更する。
・ポートスキャナツールでポートの開放の確認を行う。
・ログイン確認は社内のIPと外部（携帯キャリアIPや一般プロパイダ等のIP）２箇所から接続確認を行う。

3 の解答例
・暗号化できるテキストエディタ等を使う。
・パスワード保護できるメモ帳等を使う。
・ネット経由でサーバーに保存するパスワード管理アプリ等は使わない。

4 の解答例
・デスクトップをパスワードロックする。
・ノートパソコンであれば蓋を閉じる。

※PC起動時のオートログイン設定は論外です。

5 の解答例
・基本電話等、口頭で伝える。
・止むを得ずメールで伝える場合はGPGを使う。
相手が素人等GPG使用が難しい場合は、IDとパスワードの組み合わせは別ルートで通知する。
IDはメール、パスワードは電話口頭、チャット等経路を変える。