[port139:01162] Re: セキュアメーリングリストサーバーの開発

[nekurai@xxxxx]

ども、根暗井です ^^)
ちょっと引用順序を入れ替え...

From: Hideaki Ihara
Date: 2002/03/27　14:14:00
Subject: [port139:01156] セキュアメーリングリストサーバーの開発

>報告者に PGP 使わせるのがそもそも敷居が高い？

高いでしょうね ^^;
セキュリティ業界はともかくとして、一般的には知らない人のほうが
多そう... 知ってても使えるようにしてるかどうかは別だし...
# 事実、私は現在 PGP を install してないし ^^;


>インシデント対応チーム内のやりとりは、SSL で保護した掲示板とか？

その URL (or password)  をどう伝えるか、という問題が残りますね。

といった事を考慮すると...

> ・予めインシデント対応用の PGP 公開鍵を用意し掲載しておく
> ・インシデント報告者はこの PGP 公開鍵を利用して情報を暗号化
> ・既定のアドレス宛に暗号化したメッセージをメールで送信
>
>とかすれば安全？かな〜とも思うのですが、こんな方法もあるんちゃう？と
>いうご意見募集。

1. インシデント受付用の form を用意 (当然 SSL)
2. その form に「今後の連絡手段として」とでも書いて
     * PGP による mail
     * 電話 (FAX でもいい?)
   を選択してもう。どれもダメな場合は「申し訳ありませんが、
   報告から○時間後に下記の URL にアクセスしてもらえませんか?」
   みたいな感じ (この文章ではアヤしすぎ...) のコメントを書く。
   当然その URL はインシデント毎に独立になるようにし、そこには
   簡単な掲示板も用意しておく。
3. mail や電話の場合は何も考えないとして、ダメなばあいは
   アクセスが来るのをひらすら期待して待つ :-)

なんて手順はどうでしょう?
2 の所でフリーダイヤルの番号と受付番号を掲示する、という手も
それを維持できる組織なら有効???

                                        Ｂｙ  根暗井
------- 根暗井 == 櫻井 -------- (E-mail : nekurai@xxxxx) -------
フリーダイヤルだと海外からの場合に困りそうな気もしますが... ^^;
----------------------------------------------------------------