この文書は、 専攻サーバにおいて何らかのセキュリティインシデントが発生した場合、 その対応において指針とすべき事柄、 具体的には 「専攻サーバにおけるインシデント対応の際の行動の優先順位」 を記したものである。 なお、具体的な対応の手順に関しては セキュリティインシデント対応 を参照して頂きたい。
なお、今後専攻サーバを安定且つ低コストで運用するために必要であれば、 「行動の優先順位」以外の事柄もセキュリティポリシーとして明文化する必要があるだろう。[セキュリティインシデントとは?]
(JPCERT/CCの「インシデント報告に関してよくある質問と答え」 (http://www.jpcert.or.jp/faq.txt) からの抜粋)
Q: 「コンピュータセキュリティインシデント」とは何ですか?
A: コンピュータセキュリティに関係する人為的事象で、 意図的および偶発的なもの (その疑いがある場合) を含みます。 例えば、リソースの不正使用、サービス妨害行為、データの破壊、 意図しない情報の開示や、さらにそれらに至るための行為 (事象) などがあります。
(1) 優先順位 1 -- 地球惑星科学専攻の教官および学生の研究活動。
及び、その研究環境の基盤を支える諸々の業務。これは、そもそもの専攻サーバ運用の動機である。
ただ、主にセキュリティポリシーとして気をつけなければならないのは、 専攻の学生で構成される技術支援グループに過度な負担がかからないようにすることである。 研究という本業を持ち、 技術レベルも決して高くない有志の学生に対し、 高度すぎるネットワークコンピューティングを要求しないようにしなければならない。
同様に、ある特定のスタッフ (教官や事務) が、 過度に専攻サーバ運用に従事する事も避けねばならない。
(2) 優先順位 2 -- 専攻サーバのディスク上に存在する、 専攻のユーザによって作成されたオリジナルデータの保護。 (2003年度現在では) WWW、Mail、NEWS サーバに保存してある専攻のオリジナルデータの保護のことを指す。 これらのデータは消失した場合に復元不可能なため、 専攻サーバとしては何よりも優先して保護する必要がある。
(3) 優先順位 3 -- 他者のシステム、ネットワーク、サイトへの攻撃の防止。 他人の資源へダメージを与える事は可能な限り避けなければならない。 不慮の事故、および悪意のある第三者によって他人の資源へ攻撃がおこなわれてしまうこと自体はある程度致し方無いことではあるが、 既に発生しているインシデントを放置しておくことは自らが攻撃を行っていることと等しい。
インシデントの放置を続けた場合には、最悪、なんらかの組織 (例えば北大の情報基盤センター) によって専攻のネットワーク運営は停止されるだろう。
既になんらかのダメージを与えてしまい、 その相手から報告を受けている場合には、 謝罪・対策・経過報告等の連絡を行うべきだろう。
(4) 優先順位 4 -- 専攻サーバのシステムへのダメージの防御。 1) ソフトウェアへのダメージ (システム ファイルの消失または更新)、 2) ハードウェアへのダメージ (ディスク ドライブの破損) 等の防御を指す。
これらは (幸いにして専攻サーバの構築ドキュメントが充実してることもあって) 比較的容易に修復が可能である。
(5) 優先順位 5 -- 専攻ユーザに対するサービス。 専攻ユーザへのサービスは当然行われるべきだが (なによりもそれこそが専攻サーバの目的であるし)、 上記の事項が優先されなければ事実上不可能である。
ただし、サービス停止および再開の際には、 専攻ユーザへの連絡は欠かさずにおこなうべきである。
- 渡辺 勝弘、伊原 秀明 著 「不正アクセス調査ガイド ---- rootkit の検出とTCTの使い方」
- サイトセキュリティハンドブック
(インターネット上にシステムをもったサイトが、 コンピュータセキュリティのポリシーと手順を策定するにあたってのガイド)- JPCERT/CC
(インターネットを介して発生する様々なコンピュータセキュリティ・インシデントに対して、 システム運用管理の面から助言を行う組織)
| Copyright © 2003 epcore |