[stalk:01403] Re: IDS の目的って？

["katz miyakoda" <katz@xxxxxxxxxxx>]

はじめまして。都田＠cableです。


idsの技術的な目的に関してはお互いに理解しているという前提で考えてみました。

idsについて、ちょっと苦い思い出もあったりします。

広報／広告とメールのやりとりだけにサーバを使っている企業のマネジメントに対し
て、snortのログを提示して、ネットワークセキュリティへの予算獲得に動いた結
果、
その会社のマネジメントから出てきた意見とは、社内ネットとインターネットの完全
な
分離、つまり切断−ispとの契約解除だった、という経験をかなり前にしました。

「そんなにリスクがあるなら接続をやめれば？」ということです。実際にやめてしま
えば
ネットワーク管理の仕事のかなり大きな部分がなくなります。s-talkを見ているよう
な
方は最悪失業するかもしれません。管理契約を請け負っている方は最悪、契約解除
となる可能性さえあります。

話題にしやすいという意味で、海外／国内からのアタックやワームからのアタックが
主
だったりしますが、ほんとうのところ、idsのログを見せたり説明するだけでは、事
業形態
によっては、まったく意味がないのではないか、ということです。

idsの目的として、マネジメント側に提示できるのは以下の2点ではないでしょうか。

１　eコマースなどからの事業利益が無視できないほど大きく公開サーバ設置が必須
であり、事業機会損失をゼロにするためにidsで防衛を強化しておく必要がある。ids
で
インシデントに対応する要員の人件費も計上され、最低でも、年間500−1000万円
以上の運用コスト？

２．イントラネット内に脆弱性の高い形で高価な情報資源が多数あり、退職者の
情報持ち出しを経験したこともあり、それを抑止するための証拠固めとしてidsを
攻撃的に使う。１の例よりトラフィックが少なく、単にログをとっておくだけなの
で、
１よりも運用コストは低い？


退職者による情報漏洩はあたりまえに見聞きします。

・会社をやめた営業が、同業他社で顧客をどんどん食っている
・会社をやめた技術が、設計図面やソースコードを持ち出して独立したとか競合他
社で使っている

といった場合、idsのログのような形でデータを残しておくと、訴訟段階で、証拠固
めが非常にうまくいくように思います。いつ、どこで、だれが、どんな方法でデータ
を盗もうと試みたかの立証ということがあります。

紙の書類だと、だれがどの書類をコピーしたかを記録するのは大変です。一方、許可
されていないファイルを取り込もうとしたという記録は、相手に知られない形で企業
内の管理ログやidsで捕捉可能です。高価なidsシステムのほんとうの監査対象
は、ファイアウォールの内側だったりし・・・。

その場合、idsの存在も秘匿し、ログを長期にわたり保存し、徹底した証拠固めを行
った上で、退職者がその情報を漏洩したことが明確になった段階で、この証拠を
取り出し、徹底的な損害賠償訴訟と刑事告訴を行います。1回だけやれば、
みんなに恐れられるようになり、会社の利益は守られるというギスギスした
いやなシナリオですが、ドライな経営者には興味深く受け止められるかもしれませ
ん。

問題点として、ネットワーク管理者が嫌われるようになる、ということがあります。

技術系の会社だと、自称「うでに自信のある」新入社員が、社内サーバのportscanな
んかをしていることは多々あります。厳しいポリシーがある場合、マネジメントには
インシデントとして報告をあげるしかなくなりますよね。

 ////////////////////////////
 Cable Corp.
 Katsuro Miyakoda
  ////////////////////////////

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　 　今までは　ＩＥだけで　ゴメンナサイ　　　　　　　　
  http://www.infoseek.co.jp/Sidebar?pg=sbar_install.html&svx=971122