[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05305] セキュリティ指摘を受けたときの正しい対応手順とは
- To: <port139ml@xxxxxxxxxxxxx>
- Subject: [port139ml:05305] セキュリティ指摘を受けたときの正しい対応手順とは
- From: "katz miyakoda" <katz@xxxxxxxxxxx>
- Date: Mon, 17 May 2004 18:26:47 +0900
はじめまして。miyakoda katsuroと申します。よろしく。
はじめてここに書き込みます。
外部からセキュリティに関する指摘を受けたときの正しい対応方法とはなんでしょう
か。
対応方法を書いてあるようなドキュメントってないでしょうか。いろいろ探してみま
したが適切な手順を見つけることができませんでした。
以下のようなことがあって非常に困難が予想されます。
(1)自社システム部門では当然ながら指摘を受ける筋合いはないと思っている(けげん
な対応をするのが普通。これをなるべく抑えて情報をフルに獲得する応対方法とは)
(2)最初に電話をとった人が該当部署とは限らない(社内全体でコールを該当部署に回
す工夫)
(3)指摘を受ける側のシステム部の自分は名乗るべきか(逆に自分の名前をかたられて
会社に侵入される恐れも考慮。「システム部の田中太郎ですが…」みたいなウソ電話
の手段を与えることになるのでは?)
(4)相手が善意の第三者だとぞんざいな対応や疑いの対応は指摘した人に不快感を与
えて問題拡大のリスクが生まれる
(5)システム担当としてメールアドレスをHPに載せておくべきか(「まさか」を考える
とウイルス/スパムにさらされる)
(6)指摘者の名前等はきくべきか
(7)指摘が正しかった場合のお礼はどうあるべきか
(8)指摘がまったくのウソで、なんらかの情報を得ようとするものであった場合の対
処とは
企業としてベストなやりかたは、かなりむずかしそうです。社内の各ユーザー層ごと
に、セキュリティポリシーにどういう書き方をするか、思案のしどころです。
下記は、わたしがblogに書いた記事です。背景資料としてごらんいただければ幸いで
す。
http://miyakoda.jugem.cc/?eid=31
http://miyakoda.jugem.cc/?eid=36