2006年6月 7日

[selinux-users:01634] Re: 「セキュアOSに関する本音

道明です。

技術論が続くとことを期待します。

On 2006/06/06, at 12:08, Yuichi Nakamura wrote:

>> ・複数のセキュアOSを比較するベンチマークやが評価基準がない。
>>  (技術者や先進的なユーザ以外に対して,見える化とはなっていない)。

> 「自分の必要なセキュアOSをYes/Noの質問で答えていくと分かる」
> みたいなウィザードがあるといいかもですね。。
> (よく、一般向け雑誌にあるようなやつ)
(略)

中村さんが,席上提示された,セキュアOS戦国時代。

とてもすばらしいキャッチコピーだと思いました。雰囲気でています。

自分が,BOFで受けた印象を書きます。

セキュアOSをどう設定するか,よりも,どう運用するか,の視点が手薄ではないかという
発言だと思います。

導入時もさることながら,
組織であるセキュアOSを導入した以降に,セキュアOSが日々役に立つことを,CIOや監査者に
定量的に説明できるツールだと思います。例えば,
 ・セキュリティ侵害として,毎日X件発生していますが,未然に防げました
 ・先日発生したウィルスに対応し,パターンファイルが更新されるまでに該当計算機内に
  封じ込めました。他に影響は出ていません。
 ・残念ながら情報漏洩が発生しましたが,セキュアOSと連携し,侵入経路と漏洩範囲が
  特定できました。
という月例レポートをあげられるものかと考えます。ただし,これらを必要とするのが,
委託業者(データセンタや警備会社)なのか自組織内の電算センタなのかは,組織によって
異なり,市場全体としてのボリュームとして大きいのかどうかよくわかりませんが。
 
 仮に,このような運用を仮定すると,ここから逆算して,組織全体としてコストダウン
(人件費削減)とセキュリティ強化の投資(初期投資で済むのか)と,収支が合うのか,
合わないのか,という計算ができる,導入ガイダンスだと思います。

その他に,情報が漏洩したときの被害金額を見積り,保険をかける話が別途あります。

アンチウィルスの例をみても,ある水準をこえれば,技術的にできる/できないは,
その上は,マニア向けかなと考えます。
 


投稿者 xml-rpc : 2006年6月 7日 07:12
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/37319
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。