セキュリティに関する 10 の鉄則
Microsoft Security Response Center では、毎年何千ものセキュリティ レポートを調査しています。この中には、当社のいずれかの製品の問題に起因する真のセキュリティの甘さを指摘するレポートもあります。このような場合、我々はこのエラーを修正するための修正プログラムをできるだけ迅速に作成します (「Microsoft Security Response Center を巡るツアー」を参照)。また、単に製品の使い方の間違いが原因となって発生する問題がレポートされているケースもあります。しかし、ほとんどがその中間に位置します。つまり、真のセキュリティ問題を論じているものの、製品の問題が原因ではないものがほとんどです。我々は長年にわたってこのような問題を集め、「セキュリティに関する 10 の鉄則」として 1 つのリストにまとめました。
次に示す問題の場合、修正プログラムが提供されるのをあせって待ち構えても仕方ありません。これらの問題はコンピュータの動作形態に起因するものであるため、マイクロソフトだけでなく、他のどのようなソフトウェア ベンダであっても、こうした問題を「解決」することはできません。とは言え、まだ諦めてはいけません。正しい判断こそが、これらの問題から自己防衛する秘訣なのです。その点を心に留めておけば、システムのセキュリティを大幅に向上させることができます。
トピック
.gif "鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない"){kind=icon}
鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない
鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない
鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない
鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない
鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである
鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている
鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている
鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない
鉄則 10: テクノロジは万能ではない
鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない
残念ながら、これはコンピュータ サイエンスの 1 つの現実です。コンピュータ プログラムは、たとえそれが被害を与えるようにプログラムされたものであっても、プログラムされているとおりの処理を実行します。あるプログラムを実行するよう決めた場合、コンピュータの制御をそのプログラムに任せたものとみなされます。一度プログラムを実行すると、そのプログラムはあなた自身がコンピュータで実行できる処理を何でも行うことができるようになります。キーボード操作をモニタし、それを Web サイトに送ったり、コンピュータに保存されているあらゆる文書を開き、"will" という単語を "won't" にすべて置き換えることもできれば、無礼な電子メールをあなたの友人に送りつけることもできます。また、ウイルスを忍び込ませたり、あなたのコンピュータを遠隔操作するための「バック ドア」を作ることも、海外の ISP にダイヤルアップ接続することもできます。ハードディスク ドライブをフォーマットし直すことも簡単です。
このため、信頼できない発信元からのプログラムは決して実行しないこと、さらにダウンロードすらしないことが重要です。この場合の「発信元」とは、プログラムを実際に作成した人を指し、プログラムをくれた人ではありません。プログラムを実行することは、サンドウィッチを食べることと同じであるというおもしろいたとえ話があります。もしも見知らぬ人がやってきて、サンドウィッチをくれたら、あなたはそれを食べますか。おそらく食べないでしょう。では、親友からサンドウィッチをもらった場合はどうでしょう。食べるかもしれないし、食べないかもしれません。親友自身がそのサンドウィッチを作ったのか、それとも道に落ちていたのを拾ったものなのかによって違うはずです。このサンドウィッチの話と同じ考え方をプログラムにも適用しておけば、安全性は常に確保されます。
鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない
結局、オペレーティング システムは 1 と 0 の並びに過ぎません。この並びをプロセッサが解釈し、コンピュータで所定の処理が行われます。この 1 と 0 の並びが変更されると、コンピュータの動作が変わってしまいます。1 と 0 の並びはどこに保存されているのでしょう。それはもちろん、他のあらゆるものと一緒に、コンピュータに保存されています。オペレーティング システムは単にファイルに保存されているので、別の人がコンピュータを使った場合に、その人にファイルの変更が許されていれば、「万事休す」です。
この理由を理解するには、オペレーティング システム ファイルがコンピュータで最も信頼されるものの 1 つであり、一般的にこのファイルを実行するにはシステム レベルの特別な権限が必要であるということを考えてみてください。言い換えると、オペレーティング システム ファイルはどんな処理でも行うことができます。ユーザー アカウントの管理、パスワードの変更、だれにどのような処理の実行を認めるのかを規定したルールの施行の権限を、オペレーティング システム ファイルは持っています。もしも悪意のある攻撃者がオペレーティング システム ファイルを変更した場合、このファイルはもはや信頼できるファイルでなくなり、攻撃者の命令どおりに動き、その攻撃には際限がなくなります。パスワードを盗み、コンピュータの管理者になりすましたり、まったく新しい機能をオペレーティング システムに追加することもできます。この種の攻撃を防止するために、システム ファイル (さらにレジストリ) を十分保護しておいてください (これには、マイクロソフトのセキュリティ Web サイトのセキュリティ チェックリストが役立ちます)。
鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない
悪意のある攻撃者があなたのコンピュータを手に入れた場合、一体どのようなことが行われるのでしょうか。「石器時代」的な攻撃から「宇宙時代」的な攻撃に至るまで、代表的な例を次に示します。
- 攻撃者は大きなハンマーでコンピュータを粉々にするといった、究極のローテクのサービス拒否 (DoS) 攻撃をします。
- 攻撃者はコンピュータの電源プラグをコンセントから抜き、ビルから運び出した上に、コンピュータ売りさばいてしまいます。
- 攻撃者はフロッピー ディスクからコンピュータを起動し、ハードディスク ドライブをフォーマットし直します。ここであなたは、電源を投入したときにパスワードの入力を求めるようにコンピュータの BIOS を構成しているとおっしゃるかもしれません。ですが、それは攻撃者にとっては何でもないことなのです。ケースを開き、システム ハードウェアの構成を確認することができれば、BIOS チップを置き換えるだけでいいのです (実際、これよりも簡単な方法もあります)。
- 攻撃者はあなたのコンピュータからハードディスク ドライブを取り外し、自分のコンピュータに取り付け、ハードディスクの内容を盗み見します。
- 攻撃者はあなたのハードディスク ドライブをコピーして、自分の家に持って帰ります。そこでゆっくり時間をかけて、考えられる限りのログオン パスワードを試すなどの総当たりの攻撃を行います。プログラムを利用すればこの攻撃を自動化できるので、十分な時間が与えられれば、ほぼ間違いなく成功するでしょう。このような場合には、上記の鉄則 1 と 2 が当てはまります。
- 攻撃者はあなたのキーボードを、キー操作した内容を無線送信するようなものに置き換えます。これによって、パスワードなど、あなたが入力した内容をすべて監視できます。
コンピュータはその価値に見合った方法で必ず物理的に保護してください。コンピュータの価値にはハードウェア自体の価値だけでなく、ハードウェアに保存されているデータの価値、さらに悪意のある攻撃者が入手する恐れがあるあなたのネットワークへのアクセスの価値が含まれることを忘れないでください。少なくとも、ドメイン コントローラ、データベース サーバー、プリント/ファイル サーバーといったビジネス クリティカルなコンピュータは必ず鍵がかかる部屋に設置し、管理および保守権限が付与された人物だけがアクセスできるようににしなければなりません。その他にも、他のコンピュータも保護したり、さらには付加的な保護対策の使用の可能性を検討してみるとよいでしょう。
ラップトップを持って移動する場合は、ラップトップを保護することもきわめて重要です。ラップトップは小型で軽量なために移動に向いている反面、攻撃者はラップトップから簡単に情報を盗み出すことができます。ラップトップを保護するためのロックやアラームは多種多様であり、モデルによってはハードディスク ドライブを取り外して、持ち歩くことができるものもあります。また、Windows 2000 に搭載されている暗号化ファイル システムなどの機能を使用すれば、攻撃者がコンピュータを盗んだ場合の損害を緩和させることができます。しかし、データが安全であり、ハードウェアが改ざんされていないことに 100% の自信を持つには、移動時にも常にラップトップを肌身離さず身につけておくしかありません。
鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない
これは、基本的には鉄則 1 の逆です。鉄則 1 のシナリオでは、悪意のある攻撃者が被害者をだまして、有害なプログラムを被害者のコンピュータにダウンロードさせ、そのプログラムを実行させるというものでした。これに対して、鉄則 4 では、悪意のある攻撃者が有害なプログラムをコンピュータにアップロードし、攻撃者自身がそのプログラムを実行します。見知らぬ人でもあなたのコンピュータに接続できるようになっている場合にはこのシナリオは脅威ですが、Web サイトでは驚くほどこのようなケースが見られます。Web サイトの運営者の多くは自分自身の利益のために訪問者を非常に手厚くもてなし、訪問者は自由にプログラムをサイトにアップロードし、そのプログラムを実行できるようにしています。これまで見てきたように、悪意のある攻撃者のプログラムをコンピュータで実行すると、非常に不愉快な事態が起きることになります。
Web サイトを運営する場合は、サイトの訪問者が行うことができる処理を制限する必要があります。あなた自身がプログラムを作成した場合、またはプログラムの作成者を信頼できる場合に限り、プログラムをサイトにアップロードさせるべきです。しかし、それだけではまだ十分でないかもしれません。あなたの Web サイトが共有サーバーによってホストされるものの 1 つである場合は、特に注意しなければなりません。悪意のある攻撃者はサーバー上にある複数のサイトの 1 つに不正アクセスができれば、サーバー全体に制御の範囲を広げることができ、あなたのサイトを含め、サーバーのすべてのサイトを制御できるようになります。したがって、共有サーバーによってホストされている場合には、サーバー管理者のポリシーがどのようになっているか確認することが重要です (サイトを公開する前に、IIS 4.0 および IIS 5.0 のセキュリティ チェックリストに準拠しているか確かめてください)。
鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである
ログオン プロセスを設けているのは、あなたがだれであるか正体を明らかにするためです。あなたがだれであるかを識別すると、オペレーティング システムはそれに応じてシステム リソースに対する要求を許可または禁止します。もしも悪意のある攻撃者があなたのパスワードを手に入れた場合、攻撃者はあなたになりすましてログオンできます。実際、オペレーティング システムから見ると、攻撃者もあなたも同じなのです。攻撃者はあなたであるので、あなたがシステムで行うことができることはすべて、攻撃者も行うことができます。コンピュータに保存しておいた電子メールなどの機密情報を読むかもしれません。おそらく、攻撃者よりもあなたの方がネットワークに対して多くの権限が与えられているはずなので、本来ならばできないことを攻撃者にされることになります。または、攻撃者は何か悪意のある行為をし、それをあなたのせいにするかもしれません。いずれにせよ、資格情報を保護する価値はあるのです。
必ずパスワードを利用してください。パスワードをブランクのままにしてあるアカウントがいかに多いか、本当に驚くべきことです。そして、複雑なパスワードを選択してください。ペットの犬の名前や記念日、地元のサッカー チームの名前は使用すべきではありません。また、"password" というパスワードも使用しないことです。英字 (大文字および小文字)、数字、句読点などから構成される、できるだけ長いパスワードを考えてください。そして、パスワードは頻繁に変更してください。こうして強力なパスワードを考えたら、その扱いは慎重にしてください。決して、紙に書き留めないこと。もしもどうしても書き留めなければならない場合には、その紙を金庫または鍵がかかる引き出しに保管してください。というのも、悪意のある攻撃者がパスワードを探す場合にまずチェックするのは、スクリーンの横に黄色の付箋紙が貼られていないか、机の一番上の引き出しにメモが入っていないかということだからです。そして、パスワードはだれにも言わないことです。「2 人の人間が秘密を守ることができるのは、どちらか一方が死んでしまった場合だけである」というベンジャミン フランクリンの言葉を思い出してください。
最後に、システムにあなた自身が何者かを明らかにするために、パスワードよりも強力な手段の使用を検討してみてください。たとえば、Windows 2000 では、現在システムで実行可能な ID チェックを大幅に強化したスマート カードの使用がサポートされています。さらに、指紋や網膜スキャナといったバイオメトリックを応用した製品も検討してみるとよいでしょう。
鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている
どのコンピュータにも、ソフトウェアのインストール、オペレーティング システムの設定、ユーザー アカウントの追加および管理、セキュリティ ポリシーの設定、その他コンピュータを常に稼動させておくうえで必要となるあらゆる管理業務を実施できる管理者がいなければなりません。当然ながら、これらの作業を行うには、管理者はコンピュータを制御できる権限が必要です。この結果、管理者には最大の権限が与えられることになります。したがって、信頼できる管理者でなければ、あなたがセキュリティ対策を講じても、すべて無効とされる可能性があります。管理者になれば、コンピュータのアクセス許可を変更したり、システムのセキュリティ ポリシーを修正したり、悪意のあるソフトウェアをインストールしたり、偽のユーザーを追加したり、その他ありとあらゆることができます。オペレーティング システムを管理下に収めているために、オペレーティング システムのすべての保護対策を事実上くつがえすことができます。そして何よりも悪いことに、管理者は証拠を隠すことができるのです。このように管理者が信頼に値しない場合は、セキュリティなどないも同然です。
システム管理者を雇う場合は、管理者の地位がいかに信頼されるものかを十分に認識し、その信頼に値する人だけを雇ってください。身元保証人に電話をかけ、前職において、特に以前の雇い主との間でセキュリティに関する問題がなかったかをたずねてください。もしあなたの組織にふさわしいと思われたら、銀行やその他セキュリティを重視する企業が実施しているような手段を講じるのもよいかもしれません。このような企業では、雇用時はもちろん雇用後も定期的に詳細な身元調査を管理者に課しています。そして、一度基準を選択したら、その基準をあらゆる場合に適用してください。綿密な審査を行わない限り、ネットワークの管理特権をだれにも与えてはなりません。これには、臨時採用の従業員や請負業者なども含まれます。
次に、正直な人が不正行為を行わないままでいるための手段を講じてください。入室/退室記録簿を利用して、サーバー ルームにだれがいたのか記録しておきます (サーバー ルームには鍵がかかるドアが付いていますか。付いていない場合は、鉄則 3 を読み返してください)。ソフトウェアのインストールまたはアップグレード時には、「2 人制」ルールを実施してください。1 人の管理者に権限が集中しないようにする方法の 1 つとして、管理業務をできるだけ幅広く分散させます。また、管理者アカウントは使用せず、だれが何をしているのか見分けることができるように、管理特権が付与された固有のアカウントを各管理者に割り当てます。最後に、不正を働く管理者が証拠を隠しにくくなるような手段を講じるよう検討してください。たとえば、監査データを書き込み専用メディアに保存するか、システム A の監査データをシステム B に格納し、この 2 つのシステムの管理者を別の人にします。管理者の説明責任を重くするほど、問題が発生する可能性が低くなります。
鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている
たとえば、世界で最も大きくて強い、最も安全性の高い鍵を玄関に取り付けたとします。ですがその鍵を玄関マットの下に隠しておいたとすれば、鍵がどんなに強力であっても意味がないのではないでしょうか。重要なのは、鍵の保護です。鍵の保護が不十分であると、泥棒が鍵を見つけさえすれば、玄関は簡単に開いてしまいます。暗号化されたデータも同じです。たとえどんなに暗号化のアルゴリズムが強力であっても、データの安全性は暗号を解読できるキーのセキュリティにかかっているのです。
多くのオペレーティング システムおよび暗号化ソフトウェアでは、コンピュータに暗号キーを保存するためのオプションが提供されています。これは非常に便利で、自らキーを管理する手間を省くことができますが、その反面セキュリティが犠牲になります。キーは通常わかりにくくなっていて (隠されていて)、実際かなり優れた手法を用いているものもあります。しかし結局のところ、キーがどんなにうまく隠されていたとしても、コンピュータに保存されていれば、いずれは見つかってしまいます。ソフトウェアによってキーが見つけられるのであれば、執拗な攻撃者であれば、きっとキーを見つけてしまうでしょう。可能な限り、キーはオフラインで保管してください。キーが単語または語句である場合は、暗記しておいてください。それ以外であれば、フロッピー ディスクにエクスポートし、バックアップ コピーを作成したら、それを安全な場所に別々に保管しておいてください (現在「ローカル記憶領域」モードで Syskey を使用している管理者の方は、今すぐサーバーを設定し直してください)。
鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
ウイルス検出プログラムは、コンピュータ上のデータをウイルス「署名」の集まりと比較するものです。特定のウイルスごとに固有の署名があり、ファイルや電子メールなどでその署名に一致するデータが見つかると、ウイルス検出プログラムはウイルスを発見したと断定します。しかし、ウイルス検出プログラムは、そのプログラムが対応しているウイルスしか検出できません。新しいウイルスは毎日発生するので、常にウイルス検出プログラムのウイルス定義ファイルを最新のものに更新しておくことがきわめて重要です。
と言っても、実際の問題はこれよりも多少深刻です。一般的に、新しいウイルスが発生した場合、それを検出できる人がほとんどいないため、結果的にウイルス発生の初期段階の被害が最も大きくなります。その後、新しいウイルスが猛威をふるっているとの噂が広まり、ウイルス定義ファイルが更新されると、ウイルスの勢力は急速に衰えていきます。重要なのは、いち早く先手を打ち、ウイルスが攻撃をしかけてくる前に、コンピュータのウイルス定義ファイルを最新のものに更新することです。
ウイルス対策ソフトウェアのほとんどすべての作成者は、Web サイトに無料で最新のウイルス定義ファイルを提供しています。実際、多くが、新しいウイルス定義ファイルがリリースされるたびに通知が送信される「プッシュ型」サービスになっています。これらのサービスを利用してください。また、ウイルス検出プログラム自体も常に最新のものに更新してください。ウイルス ソフトウェアの作成者は、ウイルス対策プログラムができると、それに対抗する新種のウイルス ソフトウェアを作成し、戦いを挑んできます。
鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない
人間の交流には、必ず何かしらのデータの交換を伴います。あなたから得たデータを十分に組み立てることで、あなたがだれであるかを認識することができます。ほんの少し話しただけでも、どれだけの情報が収集できるか考えてみてください。あなたをひとめ見れば、あなたの身長、体重、おおよその年齢の見当がつくはずです。言葉のアクセントから、どの国から来たのかわかるでしょうし、場合によってはその国のどの地方の出身であるかまでわかることもあります。またお天気以外の話をするとなれば、当然家族や関心事、住んでいる場所、職業は何であるかという話題になるでしょう。こうしてさほど長い時間をかけずに、あなたがだれであるのかを十分に判断できるだけの情報を収集できます。完全な匿名を望むのならば、洞穴に住んで、人との接触をすべて絶つことが最も確実な方策です。
同じことがインターネットにも当てはまります。ある Web サイトを訪問した場合、そのサイトの所有者は本当にやろうと思えば、あなたがだれなのか突き止めることが可能です。なんと言っても、Web セッションを構成する 1 と 0 の並びは最終的には正しい場所にたどり着き、その場所こそがあなたのコンピュータなのです。このビットの並びを隠す方法はたくさんあり、それを多く利用するほど、ビットの並びをより確実に隠すことができます。たとえば、ネットワーク アドレス変換を利用して実際の IP アドレスを隠蔽する、イーサネットからのデータパケットを目的のサイトに中継するときにビットの並びをわからなくする匿名化サービスに加入する、目的ごとに異なる ISP アカウントを利用する、特定のサイトにはインターネット カフェのような場所からのみサーフィンするといった対策が可能です。このような対策はすべて、使用すればあなたがだれなのか突き止めにくくするという点では効果がありますが、あなたがだれなのか完全にわからなくするということは不可能です。匿名化サービスを運営しているのがだれか確実に知っていますか。おそらく、あなたがこのサービスを利用して訪問した Web サイトの所有者と同じでしょう。または、あなたが昨日訪問した際に、無料で 10 ドルの割引クーポンをメールで提供してくれた、一見無害に見える Web サイトはどうでしょう。おそらく、このサイトの所有者は他の Web サイトの所有者と情報を共有することを望んでいるはずです。もしもそうなら、この Web サイトの所有者はこの 2 つのサイトからの情報を関連付け、あなたがだれなのか見破ることができるでしょう。
これは、Web のプライバシーを保護することが見込みのないことを意味しているのでしょうか。いいえ、そうではありません。あなたが日常生活でプライバシーを守るために行動に気を付けているように、インターネットでプライバシーを守るためには、自分の行動に気を付けるのが一番であると言っているのです。訪問先の Web サイトのプライバシーに関する記載をよく読み、その方針に同意したサイトとのみ取引してください。Cookie が気になる場合は、Cookie を無効にしてください。最も重要なことは、見境のない Web サーフィンはやめることです。どの都市にも近寄らない方がよい治安の悪い場所があるように、インターネットにも避けた方がよいサイトがあることを肝に銘じてください。現在でも精いっぱいプライバシーの保護に気を付けているならば、このような穴をまず探り出すとよいでしょう。
鉄則 10: テクノロジは万能ではない
テクノロジは、時としてあっと驚くようなことをやってのけます。近年、低価格で強力なハードウェア、またそのようなハードウェアを利用してコンピュータ ユーザーに新たな展望を開くためのソフトウェアが開発されると共に、暗号化技術を始めとする科学的知識が向上しています。我々が一生懸命努力しさえすれば、テクノロジはリスクのない世界を実現できると信じたい気持ちはわかりますが、これは現実味に欠けています。
完全なセキュリティを実現するには、到底存在しないレベルの完璧さが必要ですが、実際にはあり得ないことです。このことは、人間的な関心の及ぶほとんどすべての側面だけでなく、ソフトウェアにも当てはまります。ソフトウェアの開発は不完全な科学であり、どのソフトウェアにも必ずバグがあります。このバグが、セキュリティの侵害に悪用されることもあります。残念ながら、これがまさに現実なのです。しかし、たとえ完全なソフトウェアを開発できたからと言って、問題がすべて解決するわけではないでしょう。ほとんどの攻撃では、程度の差こそあれ、人間の本質が巧みに利用されています。これは、通常ソーシャル エンジニアリングと呼ばれるものです。セキュリティ テクノロジを攻撃することの代償を大きくし、攻撃を困難にすれば、悪意のある攻撃者はセキュリティ テクノロジから、コンソールに向かう人間そのものに関心を移すでしょう。確かなセキュリティを維持する上では自分の役割を理解することがきわめて重要なのです。これを軽視すれば、あなた自身がシステムの弱点になる恐れがあります。
解決策は、2 つの要点を認識することです。まず、セキュリティはテクノロジとポリシーの両方で構成されています。言い換えれば、あなたのシステムでどの程度セキュリティが守られているかは、テクノロジ自体とそのテクノロジがどのように使われているかの両方を検討した上で、最終的に判断されます。第 2 に、セキュリティは行程であり、目的地ではありません。1 度「解決」すれば済む問題ではなく、悪意のある攻撃者とそれを退治する側のいたちごっこです。重要なのは、セキュリティについて正しい認識を持ち、しっかりとした判断をすることです。このために役に立つリソースが提供されています。たとえば、マイクロソフトのセキュリティ Web サイトには、現在何百ものホワイト ペーパー、ベスト プラクティス ガイド、チェックリスト、および各種ツールが提供されていますが、さらに日夜新たなリソースの開発が行われています。優れたテクノロジとしっかりした判断力を持つことで、非常に堅固なセキュリティを手に入れることができるのです。