wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

Security

追記:マネジメント側で出来る最大の対処

「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」の後にも考えるべきことが2つあった。 それは、「深刻な脆弱性を保有するシステムに対する『システム停止を含む緊急対応』の事前策定と関係者間の合意」と「策定したプロセスが機能す…

結び:現場の営みをうまく拾ってエスカレーションを行えるしくみの構築と運用が必要

脆弱性は、「早期発見&即対処」を行えればベストだが、これはシステムの規模や影響を考えるとかなりの無理筋とも感じる。 となると、脆弱性マネジメントの見地では「早期発見」「適切な評価」「迅速な対処」をいかにスムーズに行うか?がカギになる。早期発…

再発防止は「再発防止策が機能したら、発生したインシデントは発生しなかったか」がカギ

これは私見だが、再発防止策を考えるときには、考えた策を適用することで「発生したインシデントが発生しなかったか」の検証が必須と考える。 そして、「今やってること」「今やってないこと」「やるべきこと」「今やるべきこと」「今後やるべきこと」の層別…

再発防止には「入手した脆弱性情報の適切な評価」をプロセスに含めることも対策に含めるべきではないか

脆弱性情報は、早期に入手すればするほど「危険性の評価」が難しくなる傾向にある。これは、公開情報などを契機に「早期に」入手できた情報には「PoCなどが伴わない」ことが多いからだ。この場合、おおざっぱには当該情報をもとに「対処する」「PoCなどの公…

再発防止策が偏ってるなぁ…と感じるのはオレだけか?

再発防止はどれも「まぁそうだね」と思えるものが並んでるけど、「2 情報セキュリティマネジメントに関する防止策」中、「(3)ア 脆弱性情報の早期入手」と「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」だけでいいのか?という…

「全社的リスク管理の課題」は本当に真の課題か?

現場に寄り添うべき立場の者として、この課題(の記述)は少し腹立たしい。 報告書中、以下のような記述がある。 本件事故の原因とも言える「大規模の脆弱性発覚」のリスクは、本来、看過できない重大なリスクであったと考えられるものであるが、経営管理の…

よくわからない点:脱Struts宣言を出したものの、リスク含みの既存システムへの対応が不十分なあたり

新規開発でStrutsを使わない宣言を出したのは評価出来るけど、既存システムへの対応がない(ように見える)のが不可解。 報告書では「既存のStruts 2使用システムの再構築には至らなかった」とあるが、これは正直「システム運用の現場」を理解していない(理…

ヤバさを認識するまでが遅いのがBad

ヤバさを知覚してから対応に入るまでの速度が高速なのはいいのだけど、脆弱性が公開された時刻からGMO-PG側で脆弱性情報を確認し、ヤバさを知覚するまでの時刻に開きがありすぎというのがヤバい。簡単に脆弱性公開からGMO-PGさん対応までの話を図に起こして…

ヤバい事象の認識から対応に移るまでの時間の短さはGood

3/9 18:00にヤバさを認識し、同日21:56にWAFによるブロックを開始したのはGood。

インシデント発覚から公表までの期間の短さはGood

3/10 2:15にインシデントが発覚し、公表が同日18:22に行われている。 関係各所の調整も含めて16時間で公表というのは、個人的な所感では超高速だと感じる。

再発防止委員会の構成

専門家アドバイザーが少し偏り気味でないかい?と思ってたり。 実は結論が少々偏ってたりするなぁ(間違ってるわけではないけど、方向性が偏ってるという意味)…と思っていたのだけど、再発防止委員会の構成を見て納得。

オレが期待している「過去のセキュリティ・キャンプの応募用紙を見ることの効能」

過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。 でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいいかもしれない…

セキュリティ・キャンプの応募用紙が問うこと

セキュリティ・キャンプの応募用紙は、「やる気や熱意、興味の見える化」をするためのものであり、全部正答すれば参加できるというものではありません。

セキュリティ・キャンプの応募で一番困ったことの1つ

個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。 これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜まとめ

ネガティブなことも書いたが、どちらかというと「買ったはいいけど期待外れ」というのを防ぎたいと思ったので、オレなりに著者陣の主張を読み解いたまでのことである。で…本書で述べている内容は掛け値なしに貴重なものであり、これまであちこちで局所的/散…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(3)〜たぶんスコープ外だけど、期待しちゃいけない点

本書に、チームビルディングやチームマネジメント、ケイパビリティ、チーム成熟度などの話を期待してはいけない。1章「事故対応の司令塔「CSIRT」とは」で、「何よりまずは CSIRT を立ち上げる」とあるが、正直なところ、このとおりのアクションを取れる企業…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(2)〜まずは良い点

事故を類型化し、具体的にどうするか?が、かなりわかりやすく書いてあるのは非常に良い。本書は「セキュリティ事故現場での対応」にフォーカスを当てたものであり、著者陣の安定感もあって、非常に安心して読める内容である。 生々しい(よもすると読み解き…

実践CSIRT 現場で使えるセキュリティ事故対応を読んでみた(1)

インシデント対応関連の和書は珍しく、著者に知った方々がちらほらいらしたので、ゲットの上読んでみた。 良い書籍だけど、やっぱり難点も出てくる。

結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!

窓口(PoC)が何をやるのか?というのを、自分なりの整理も兼ねて書いてみた。 兼任/専任というスタイルもさることながら、「窓口」という機能に着目して考えると、こういう見方もあるとご理解いただければ幸いである。

窓口+エスカレーション先がある場合

窓口を設定する意義の1つは、コミュニケーションや情報交換/コーディネーションを円滑にするところにある。 中と外のコーディネーションもそうだし、中のコーディネーションもそう。中→外の情報伝達も、外→中の情報伝達も、最終的にはPoCチームもしくはPoC…

窓口「だけ」ある場合

窓口「だけ」あるという場合は、窓口がない場合よりもひどいことになりうる。 報告者から報告を受け取った後、窓口から先どこに持って行っていいのかわからず、苦労することになる。 窓口を設置した企業なり団体なりの所帯が小さければ、まだなんとかなるか…

窓口すらない場合

窓口すらない場合は、そもそも何か起こったかを外から送ってもらう統一的な枠組みを用意していないといえる(図では「Webサーバおかしい」ということを言おうとしている報告者が「どこに送るのさ?」と不安になってる様を描いている)。 昨今の状況でこれは…

外部との情報交換を行うインタフェース=CSIRTならば…

「情報交換を行うインタフェースがあればCSIRTを設置したといえる」のか?と言われると、これはYesともNoともいえる。 とある人wは、「最低限外向けの窓口(PoC)を設置してくれればCSIRT作ったといえるのでは」と述べているが、これは窓口対応を正しく理解…

CSIRTとは、外部との情報交換のための信頼の枠組み

CSIRTに関して一番本質的なところをついてるものの1つが、こちらの山賀さんの講演で触れられているところと考える。 作ったから云々でもなく、外部から情報を得るのみでもなく、適切な情報も出していくという営みは必要だ。

前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっている

CSIRT設置するにあたって、「コンスティチュエンシー」や「サービス範囲」をはじめとすることは、すでに決まっているものとして以下の話を書いてたりします。

なんでこんな問題が?〜証明書の管理が分かれてるし〜

この問題は、Chromeでは起きず、Internet ExplorerやMicrosoft Edgeでも(当然だが)起きない。これは、問題が起きないブラウザは、Windowsの証明書ストアを使うようにしているためと考えられる*1。しかし、(理由はよくわからないけど)Firefoxは自前で証明…

解決法?〜証明書をエクスポートして(手順1)、証明書をインポートする(手順2)

エクスポートしてインポートする、ただそれだけで解決するんだけど、インポート先に少しだけ注意しなきゃいけない。 KMS2016の機能を使ってインストールされたルート証明書を、Windowsの証明書管理ツール*1を使ってエクスポートする 証明書管理ツールを使っ…

なんでこうなるのか?〜MITMやってる結果で解決方法もあるんだけど、どうも中途半端

KMS2016は最初からそうなんだけど、最近のカスペルスキー社のセキュリティソフトウェアは、SSL接続の中を確認するために、MITMをかけている。 そのために必要な証明書なんかは用意されているんだけど(KMS2016の機能を使ってインストール可能)、後付けで入…

カスペルスキー マルチプラットフォームセキュリティ 2016 Windows版をインストールした直後

カスペルスキー マルチプラットフォームセキュリティ 2016(以下KMS2016)のWindows版を入れた後、FirefoxでGoogleにつなごうとすると以下のような画面が。 要は「変な証明書使ってるからつながせないよ」という意味。 KAV2015とかは探すと対処法出てくるん…

対策の考え方はいいんだけど、例がまずい

トレンドマイクロさんのblogでは、対策も書かれている。考え方は悪くないけど、例がまずい。以下、対策の引用。強調と着色部分は筆者による。 定期的なバックアップと「3-2-1のルール」の実践 ファイルを定期的に取ることで重要な情報を保護することができま…