「百聞は一見に如かず」と言うことわざがありますが、これは「百人から何度も聞くより、一度実際に自分の目で見るほうが確かであり、よくわかる。」と言う意味です。
セキュリティにおいても、これと全く同じことが言えます。
それは、いくらセキュリティ上の脅威があるからと説明を聞いても、それは理屈としては理解できるが、そんなに簡単にできることではない、なので、それが非常にリスクが高い脅威でも、後回し又は対策されないと言うことが起きえます。
しかし、その脅威を自分で簡単に行えるとしたら、考え方が変わってきます。一転して、これは危険だ、すぐに対策しなくてはならない となるのではないでしょうか。
つまりセキュリティの脅威については、本で読んだり、セミナーで聞いてもなかなか実感を持てないものでも、いざ、実際に自分で経験するだけで、考えが変わってしまうものです。
そう言う意味で、セキュリティの脅威については、学ぶと言うことだけではなく、経験するということがどれだけ重要であるかが分かりますし、その経験を通して、攻撃の仕組みを理解し、対策についても感覚的に分かってきます。
しかし、この攻撃を経験するには、技術や経験に基づいた環境の準備が必要で、誰でもが簡単に経験するということは、まだ難しい状況があります。
しかし、専門家が準備した環境を使ったHands-On研修や、社内専門家による有志の体験会等への参加等もあり、セキュリティ設計を担当する方は是非とも参加・経験して頂きたいプログラムです。
またセキュリティの攻撃には、多くの場合、専用のツールが使われ、多くのものはフリーで入手することができます。そして製品出荷前に行われるセキュリティ検証等でも、同等のツールが多く使われるため、これからセキュリティ検証を担当される方にもこれらの経験は重要と言えます。