ネットワーク管理者によるもっとも間抜けな（セキュリティの）失敗10種

90件の2008年情報漏洩事件を調査したVerison BusinessのVPとNetwork Worldが作成した、ネットワーク管理者によるもっとも間抜けな失敗10種。
The 10 dumbest mistakes network managers make - Network World

「このリストの示唆に従わないのは、ただ単純に、あほだ。」

1. 全ネットワーク機器のディフォルトのパスワードを変更しないこと。
2. 複数の機器で同じパスワードを使うこと。
3. SQL関連のコーディング・ミスを見逃すこと
   情報漏洩件数ベースで79％はSQLデータベースがWebサーバー経由で攻撃されている。最も簡単な対処法は、アプリケーション・ファイアウォールに学習モードでユーザーのデータ入力挙動を観察させ、保護モードでSQLコマンドの注入を防がせる。
4. ACLの設定ミス
   通信元によるアクセス制御を細かく行う。
5. リモートアクセスや管理ソフトウェアによるアクセスの許可
   ハッカーが侵入によく使うのがPCAnyware, VNC, SSHで情報漏えいレコード数ベースで27％。これらのサービスをスキャンするか、外向きトラフィックのNetflowを分析してつきとめ、ふさぐ。
6. 重要でないアプリケーションの、基本的脆弱性検査を怠ること
   Webアプリケーション以外も、全プログラムの検査が必要。
7. サーバーに対するマルウェア対策忘れ
8. ルーターにおける、外向き通信の制御ミス
   4番は内向きの話、だが外向きも重要と言うこと。
9. カード情報や個人情報がどこに保存してあるかを把握していない
   本番サーバーは押さえていてもバックアップデータや開発機が抜けているなど。そういえば、DNPの事件も開発環境だった。
10. 10.PCI DSSに従っていない
    カード情報について準拠していても、他の重要データについては同様の対策をしていない場合が多いが、適用する価値がある。 調査結果ではレコード数で98％がカード情報がらみだったにもかかわらず、準拠していたのは19％だけだった。 「明確だ。PCIの規則を採用すべきだ。基本的にそれでうまくいく。」