[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01405] Re: IDS の目的って?
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01405] Re: IDS の目的って?
- From: hamamoto <r00t@xxxxxxxxxxx>
- Date: Sun, 01 Dec 2002 15:55:29 +0900
はまもとです。
> はじめまして。都田@cableです。
ども。
> idsの技術的な目的に関してはお互いに理解しているという前提で考えてみました。
>
> idsについて、ちょっと苦い思い出もあったりします。
>
> 広報/広告とメールのやりとりだけにサーバを使っている企業のマネジメントに対し
> て、snortのログを提示して、ネットワークセキュリティへの予算獲得に動いた結
> 果、その会社のマネジメントから出てきた意見とは、社内ネットとインターネットの完全
> な分離、つまり切断−ispとの契約解除だった、という経験をかなり前にしました。
リスクとインターネットを使えないことによる利益損失をはかりにかけて、
インターネットと完全に分離することが得策であると判断したのなら、それ
は正しい判断だと思います。
そこまで考えずにそうなってしまったのなら,それは単なるマネジメントの
失敗(経営者の過剰反応)でしょうね。
> その場合、idsの存在も秘匿し、ログを長期にわたり保存し、徹底した証拠固めを行
> った上で、退職者がその情報を漏洩したことが明確になった段階で、この証拠を
> 取り出し、徹底的な損害賠償訴訟と刑事告訴を行います。1回だけやれば、
> みんなに恐れられるようになり、会社の利益は守られるというギスギスした
> いやなシナリオですが、ドライな経営者には興味深く受け止められるかもしれませ
> ん。
IDSじゃ無理です。情報マネジメントやドキュメント管理系のアクセス権限が
はっきりしたものと、その時間と証拠をちゃんとあとから第三者的に証明できる
ようにPKIか何かと組み合わせなきゃだめだと思います。
それでも刑事告訴は難しいかな。民事訴訟で社会的に抹殺するくらいはできるか
もしれませんが…
> 技術系の会社だと、自称「うでに自信のある」新入社員が、社内サーバのportscanな
> んかをしていることは多々あります。厳しいポリシーがある場合、マネジメントには
> インシデントとして報告をあげるしかなくなりますよね。
ポリシーがない状態で勝手にポートスキャンするのは、まぁ、処罰できない
かもしれませんが、ポリシーで明確に禁止されているのに、ポートスキャン
したのなら、それはincidentとして報告あげなきゃだめでしょう。
業務で必要なら、ポートスキャンを許可してもらうためのプロセスを定義して
おけばよいだけの話ですし。
+---------------------------------------------------------------------
| はまもと
| ■セキュリティスタジアム 2002
| http://sec-stadium.hawkeye.ac/
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html
+----------------------------------------------------------------------
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
今までは IEだけで ゴメンナサイ
http://www.infoseek.co.jp/Sidebar?pg=sbar_install.html&svx=971122