ゆるゆるセキュリティ入門
DESCRIPTION
2013年12月9日に配信された「今さら聞けないセキュリティ入門」の講演資料です。TRANSCRIPT
いつもの警告!!
● 私は残念ながらセキュリティ技術の専門家ではありません。どうか鵜呑みにしないようにお願いします。間違いはメイルでお知らせ下さい。
● 今日の私の発言は所属とは無関係です。(そういう事にしておいて下さい…)
ゲームにおけるセキュリティとは
1.ゲーム内不正行為(チート)対策
2.ユーザ情報の保護
3.踏み台や手がかりとしての侵入への対応
4.サービス継続への妨害行為対策
オンライン攻撃とオフライン攻撃
1.サーバを守る
2.データを守る
3.サービスを守る
SQLインジェクション対策
1.SELECT id, name FROM users WHERE id = ?;
2.$SQL = "SELECT id, name FROM users WHERE id = '" + $ID + "';";
$ID … 「' or 1;-- 」
3.SELECT id, name FROM users WHERE id = '' or 1;-- ';
4.SELECT id, name FROM users
パケットの暗号化
何のために行うのか?
ハッシュ化
PASSWORDpassword
password1
password2
プライバシー保護の観点から
関連する法律
● 不正アクセス禁止法
● 個人情報保護法
質疑応答
セキュリティ対策で経営者、セキュリティ担当者、一般社員がそれぞれできることは何でしょうか?
経営者
金と時間を用意すること!
担当者
セキュリティ意識は低い
という前提で対応すること
一般社員
特になし!
質疑応答
ヒューマンエラーにはどのように対応すれば良いでしょうか?
質疑応答
ヒューマン作業をなくす
質疑応答
クラウドサービス上のセキュリティをベンダーはどのように担保すればいいか?ユーザーはどのように気をつければ良いか?
質疑応答
ソーシャルゲームのhttp通信部分を構築するとき、これだけは最低やっとけ!という対策は何でしょうか?
質疑応答
対策を行っておくべきことで、守られていないことが多いものは何でしょうか?