1.セキュリティポリシーを台無しにする方法
(1)現実離れしている（現実の作業環境に適したものとする）
(2)アクセスできない（イントラネット公開しても３回以上のクリックが必要であれば、事実上そのポリシーは存在していないのと同じ）
(3)売り込みが足りない（ビジネスにもたらす価値、失敗するとどんな損失を受けるかを説明する）
(4)厳しすぎる（みんなが仲間と実感できるポリシーとする）
(5)情報量が少ない（なぜ奏す劇なのかを説明する）
(6)長すぎる（必須の項目が長いと誰も読まない。詳細は手順、規則の別文書で説明する。）
(7)焦点を絞っていない（いくつかの節に分割し、自分に関連する部分がわかるように説明する）
(8)範囲が狭すぎる（特定の項目に偏ることなく、長期間に渡って価値のある重要な原理に基づくポリシーとする）
(9)内容が古い（現在の環境、今役立つものかどうか見直し、改訂する）
(10)経営陣の支持を得られない（経営陣の支持は必要条件、よって、経営者のセキュリティ教育受講も必須）

2.セキュリティ関連サイト
(1)CERT（ComputerEmergencyResponseTeam)
http://www.cert.org
(2)Bugtraq
http://www.securityfocus.com
(3)Phrack
http://www.phrack.com
(4)2600
http://www.2600.com

3.ウィルスとワームの定義
(1)ウィルス
それ自体（またはそれ自体の一部）をコピーするプログラム
マシン上の別のプログラムにも感染する
(2)ワーム
自分の複製をたくさん作成し、あやゆるリソースを消費する悪意のこもったプログラム
マシン上の別のプログラムには感染しない
(3)マクロウィルス
データファイルに潜み、マクロ機能実行時に発病する

4.ウィルスの脅威に対処する方法
(1)エンドユーザの危険な行動を最小限に抑えること
(2)アンチウィルスソフトウェアを全てのシステムで実行すること
(3)アンチウィルスツールを頻繁に更新すること
(4)自動的なマクロ実行を使用禁止にすること
(5)信頼できるデータバックアップと復旧のシステムを用意すること
(6)報告を集中化するために手段を確立すること
(7)これらをすべてポリシーに記述すること

5.アクティブコンテンツActiveXの特徴
(1)自動的にブラウザによってダウンロードされ、ユーザの許可を得ないで動く事が可能
(2)一般のプログラムと同様にユーザのディスクを読み書き可能
(3)上記の脆弱性を解決するにはセキュリティ「信頼モデル」を使用する
　どのサイトからのActiveXコントロールを受け入れるか
　受け入れたActiveXが何を行って良いかを指定
(4)アクティブコンテンツ検査ツールを導入し、疑わしいアクティブコンテンツを除外する
SurfinGate
FinjanSoftware（http://www.finjan.com）

6.悪意のこもったスクリプト
(1)ウェブページの概観を変更できる
(2)ユーザが本物のウェブサーバだと信用して入力したデータを読み取ることができる
(3)ページの振る舞いを変更できる（通常の操作を妨害することもできる）
(4)企業内イントラネットのウェブサーバに許可なくアクセスできる
(5)永続的に攻撃を行う事により、ユーザがウェブサイトを訪れるたびに攻撃を再開することができる