[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:05307] Re: セキュリティ指摘を受けたときの正しい対応手順とは

たりきです。
私の経験をもとに。

----- Original Message ----- 
From: "katz miyakoda" <katz@xxxxxxxxxxx>
Sent: Monday, May 17, 2004 6:26 PM
Subject: [port139ml:05305] セキュリティ指摘を受けたときの正しい対応手順とは


> (1)自社システム部門では当然ながら指摘を受ける筋合いはないと思っている(けげ
ん
> な対応をするのが普通。これをなるべく抑えて情報をフルに獲得する応対方法と
は)

基本的にそれは内部教育でなんとかしないと。
善意の指摘者は協力を要請されれば拒否しないと思います。
再現方法や対策のアイディアまで、聞けるものは聞くべき。
指摘者にしても心象がいいし、そのぶん対処が早くなるなら両得です。

> (2)最初に電話をとった人が該当部署とは限らない(社内全体でコールを該当部署に
回
> す工夫)

転送電話。
あとはメールの場合、セキュリティ情報窓口を設けて関係各位に同報
できるように仕込んでおくと楽です。

> (3)指摘を受ける側のシステム部の自分は名乗るべきか(逆に自分の名前をかたられ
て
> 会社に侵入される恐れも考慮。「システム部の田中太郎ですが…」みたいなウソ電
話
> の手段を与えることになるのでは?)

仮名でもなんでもいいです。
担当者窓口に連絡がつけば問題ないので。

一律「斎藤」にでもしておいて、システム部の斎藤で電話がかかって
きたらニセモノ判定してもOKでしょう。
指摘者にとっては情報が伝わって適切に対処されればOKです。
仮名偽名関係なしで、担当の人と連絡がつけば問題ありません。

> (4)相手が善意の第三者だとぞんざいな対応や疑いの対応は指摘した人に不快感を
与
> えて問題拡大のリスクが生まれる

一般的な問い合わせやサポート対応と同様に対応すれば問題ありません。
製品の問題に対する問い合わせと同様に扱えばOK。
サポートそのものがぞんざいだったりするのは問題外ですよね。

> (5)システム担当としてメールアドレスをHPに載せておくべきか(「まさか」を考え
る
> とウイルス/スパムにさらされる)

窓口は必須。
対応窓口がない場合は公表か沈黙するしかありません。
現在は沈黙を選ぶしかないですが、誰もがそうするとは限りません。

> (6)指摘者の名前等はきくべきか

ハンドルで充分。

> (7)指摘が正しかった場合のお礼はどうあるべきか

謝意を伝えれば充分です。ハンドルを沿えて謝辞を公表するというのは
指摘者に名誉を与える方法として有効です。同時にセキュリティ対策に
積極的であるというイメージを対外的に与える事に繋がり、双方にとって
メリットになるでしょう。
金銭的な謝礼は一切必要ありません。

> (8)指摘がまったくのウソで、なんらかの情報を得ようとするものであった場合の
対
> 処とは

何にしろ再現性の検証は必要ですので、再現できなかった場合にはその旨を
指摘者に通知してください。
また、再現させるためには指摘者に協力を得る必要があるので、指摘者に
対して明確な手順やスクリーンショットなどを求めるのもよさそう。
善意の指摘者ならたいてい(迅速ではないかもしれませんが)答えて
くれます。

----------------------------他力本願堂本舗---------------------------
               http://tarikihongandou.shadowpenguin.org
               Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
              サーバー防衛大學校(a.k.a カレー本)でました。
     小規模稼動中WEBサーバ/新規納品物対象 ペネトレーションテスト
http://tarikihongandou.shadowpenguin.org/penetration/penetration.html
---------------------------------------------------------------------