くさい臭いは元から絶たなきゃだめ - ある nakagami の日記
まっちゃだいふくさんの処経由。
ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね?
一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
(技術系)
ネットワーク脆弱性調査:手動 or ツールを用いて、ネットワークが抱えている既知の脆弱性(設定ミス含む)を洗い出す事。"nmap"などのポートスキャナーや"Nessus"などの脆弱性調査用ツールを用いるのがコチラです。
Webアプリケーション脆弱性調査:手動 or ツールを用いて、Webアプリケーションが抱える脆弱性(バグ、設定ミスなど)を洗い出す事。XSSやSQLインジェクション、CSRFなどの脆弱性を調査するのがコチラです。
(マネジメント系)
保障型監査:BS7799(ISMS適合評価制度)などの、各種「セキュリティ認証規格」に準じた運用が行われている事を、第三者機関が評価し、お墨付きを与える監査。「第三者審査」とも呼ばれます。
助言型監査:何らかの規格・基準に則って運用が適切に行われている事を確認する監査。監査と言うより寧ろコンサルティングに近いかも……。「第一者監査(内部監査)」「第二者監査」とも呼ばれます。
とりあえずこんなモノかな?(細かく挙げればキリが無いでしょうが……。)
---
今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性(パッチ当て忘れ)や設定ミス(ポートの穴あき状況など)を調査、レポートしてくれるサービスです。
で……
---
---
……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
(尤も……最近は価格競争に入り単価が安くなっていますので(大体1-IPにつき50k円程度)、それ程目くじらを立てるような高価なサービスでも無いですけれど。)
とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
しかもこのような「過ち」は自分では犯したとは気づき難かったりします。
実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者(自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました)も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
(正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。)
それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど(人的などの)コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。
なので、全く不要だとは思わないです。>セキュリティ監査サービス
それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
(大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。)
他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。
あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い(設定で回避する方法もあるでしょうしネ)訳ですからネ。
まっちゃだいふくさんの処経由。
ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね?
一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
(技術系)
(マネジメント系)
とりあえずこんなモノかな?(細かく挙げればキリが無いでしょうが……。)
---
今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性(パッチ当て忘れ)や設定ミス(ポートの穴あき状況など)を調査、レポートしてくれるサービスです。
で……
---
だけど、そんなのはわざわざ外側から調べてくれなくても、構築したり設定したり、維持管理するひとが
・Redhat 8.0 じゃやばくないか?
・ssh のポートを開けとくのはやばくないか?
・ssh のポートを開けるにしても、パスワード認証は止めといたほうがよくないか?
とかいうことをちゃんと考えれば、いきなりやってきた人に外側からいろいろ
調べまわされるよりも、よっぽどお金もかからないし効果も高い。
(「くさい臭いは元から絶たなきゃだめ - ある nakagami の日記」より引用)
---
……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
(尤も……最近は価格競争に入り単価が安くなっていますので(大体1-IPにつき50k円程度)、それ程目くじらを立てるような高価なサービスでも無いですけれど。)
とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
しかもこのような「過ち」は自分では犯したとは気づき難かったりします。
実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者(自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました)も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
(正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。)
それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど(人的などの)コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。
なので、全く不要だとは思わないです。>セキュリティ監査サービス
それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
(大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。)
他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。
あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い(設定で回避する方法もあるでしょうしネ)訳ですからネ。