wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

追記:マネジメント側で出来る最大の対処

「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」の後にも考えるべきことが2つあった。
それは、「深刻な脆弱性保有するシステムに対する『システム停止を含む緊急対応』の事前策定と関係者間の合意」と「策定したプロセスが機能することの確認」。
脆弱性」が発見され、「即インシデントに発展する危険性の高い脆弱性である」ことがわかった場合に、システムに対する措置を遅滞なく行うことが必要なわけだが、この話を「都度協議の上で行う」とした場合、まず間違いなく「意思決定→通達→対処」というプロセスを踏むことになる。
しかし、このプロセスにかかる時間すらも惜しい(何もしないで攻撃される危険性が高くなる)場合には、緊急避難的な対処を行うことになる。
このような対処を行う基準を策定し、関係者間で合意を取るのが、マネジメント側が行える(というかマネジメント側が行わなければならない)最大の対処の1つであろうと考える。

あとは、「策定したプロセスがきちんと機能するかどうか?」の確認が必要である。このために机上検証が必要であることはもちろんのこと、関係者が参加しての「訓練」が有効である。

結び:現場の営みをうまく拾ってエスカレーションを行えるしくみの構築と運用が必要

脆弱性は、「早期発見&即対処」を行えればベストだが、これはシステムの規模や影響を考えるとかなりの無理筋とも感じる。
となると、脆弱性マネジメントの見地では「早期発見」「適切な評価」「迅速な対処」をいかにスムーズに行うか?がカギになる。

早期発見は「ある程度」現場でカバーできるかもしれないが、きちんとした営みとするためには全体で行うのがベストだし、適切な評価は集中的に識者陣で行うのが必要と考えている。迅速な対応は、局所的な対応だけではなく組織や企業が保有するシステム全体に対して行うとなると、やはり何らかのしくみが必要になってくる。

再発防止は「再発防止策が機能したら、発生したインシデントは発生しなかったか」がカギ

これは私見だが、再発防止策を考えるときには、考えた策を適用することで「発生したインシデントが発生しなかったか」の検証が必須と考える。
そして、「今やってること」「今やってないこと」「やるべきこと」「今やるべきこと」「今後やるべきこと」の層別が必要になってくる。

再発防止には「入手した脆弱性情報の適切な評価」をプロセスに含めることも対策に含めるべきではないか

脆弱性情報は、早期に入手すればするほど「危険性の評価」が難しくなる傾向にある。これは、公開情報などを契機に「早期に」入手できた情報には「PoCなどが伴わない」ことが多いからだ。この場合、おおざっぱには当該情報をもとに「対処する」「PoCなどの公開がされないか経過観察する」「対処しない」という三択になる。

再発防止策が偏ってるなぁ…と感じるのはオレだけか?

再発防止はどれも「まぁそうだね」と思えるものが並んでるけど、「2 情報セキュリティマネジメントに関する防止策」中、「(3)ア 脆弱性情報の早期入手」と「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」だけでいいのか?というように感じる。

「全社的リスク管理の課題」は本当に真の課題か?

現場に寄り添うべき立場の者として、この課題(の記述)は少し腹立たしい。
報告書中、以下のような記述がある。


本件事故の原因とも言える「大規模の脆弱性発覚」のリスクは、本来、看過できない重大なリスクであったと考えられるものであるが、経営管理の上流での検討が十分になされないまま、現場サイドの判断によって重大リスクから漏れてしまっていた。

これは少し、現場サイドに責任を押し付けているようにも読める。
現場サイドはこれまで脆弱性対応を(現場で)大変な目にあいながらも致命的な事故が発生する前に迅速に行なえてきたのではないか、と感じる。そして、そういった現場の話とは別に、外部での攻撃発生や被害発生について、経営管理上のリスクを検討するインプットになっていなかったのではないか、とも感じる。

よくわからない点:脱Struts宣言を出したものの、リスク含みの既存システムへの対応が不十分なあたり

新規開発でStrutsを使わない宣言を出したのは評価出来るけど、既存システムへの対応がない(ように見える)のが不可解。
報告書では「既存のStruts 2使用システムの再構築には至らなかった」とあるが、これは正直「システム運用の現場」を理解していない(理解していたとしても、現場の努力に報いない)文言とも取れる。Struts 2で構築されたシステムを別フレームワークを使って再構築ってのは、ほぼゼロからシステム構築するのに等しい。再構築に至らないまでも、「既存システムの監視強化」なり「保有リスクと認識し、セキュリティ強化」となるのが(個人的には)正しいと考えてたり。