おなじみ、徳丸先生の講演会でした。
2017年09月度 ISACA名古屋支部月例会 | ISACA NAGOYA (JP)
過去に同僚が別の機会に聞いてきた話や、自分自身が去年Internet Week 2016で聞いてきた話を少しアップデートしたようなお話でした。
ご本人も、「秘伝のタレ」ならぬ「○○年から使っている秘伝のスライド」とおっしゃっていましたが。
このような講演を何度か聞いたことがある身には正直物足りなかった気がしますが、裏を返せば「これだけ何度も繰り返し講演で話した内容でも、セキュリティに縁が薄い人にはあまり馴染みがない」のでしょう。
未だにFTPやらtelnetやらがインターネットに晒され続けている状況を見ると、そういうことだと思います。
Webサイトへの侵入の手口は時代によって変化するものの、ベースは
・認証の突破
・脆弱性の悪用
のほぼ2種類で共通していること。
認証の突破も脆弱性の悪用も、「目の前で見せて体感してもらう」と興味を持ってもらいやすい(今回は「よく知っている人」が聴講していたので、あまり盛り上がりませんでしたが)。
というのがポイントでしょうか。