特に気にするべきは、事実と推測の区別。推測の確度を示すべきである。
あなたのネットワークに、サービスにセキュリティ的な問題があると言っても、脆弱性があるのか、ある可能性があるのか、その可能性が高いのか低いのかを伝えるのが必要。
また、脆弱性とは別に、被害が出ているのか出ていないのかもまた重要。脆弱性は確認できていないけど、情報が漏れている可能性が高いとか、実際サービスが止まっているとか、踏み台にされているとかという話もある。
また、一見踏み台にされていそうでも、たまたま反射してきたパケットだとか、擬装パケットが踏み台のように見える可能性もある。
こういう情報は共有すべきだけど、断定的に確定的に伝えるのむしろ混乱を招く。特にマスコミ、ニュース、通報者は注意が必要なので、専門家のチェックが必要。
とあるサービスからパケットが飛んできたとしても、そのサービスがセキュリティ的な問題を抱えているかどうか確定できない。
ポートが開いていたとしても、脆弱性があるわけでも、実際に乗っ取られたわけではない。
世間でどんなにそんな事象が多く報告されていたとしても、あくまで推測の域をでない。
また、不正アクセス禁止法のせいで実際に浸入して確認できないのも事象。
だけど、だからこそ、疑わしきを罰するような報道、報告の仕方はやめたほうがよくて、正確に伝えるべき。
セキュリティコミュニティには、高名を急ぐあまり、拙速な公表があるように思う。いつでも、冷静なももの味方が必要。
セキュリティ情報を共有することはとても大切なのだけど、伝えるときの、伝え方がとても大切だと思う。
0 件のコメント:
コメントを投稿