sugitk · January 28, 2018 09:59
diff --git a/security.txt b/security.txt
 情報収集元はいろいろあります。
 関係するプロダクトのものだけでもできるだけ読むようにしましょう。

 　- CVE (世界標準の脆弱性リスト)
 　- JPCERT/CC (日本での情報発信)
 　- ベンダーの対応情報を収集 (サポートサイトから問い合わせ、チケットシステムの参照)

 何かあったときにどれくらい緊急を要するのか? ということで、CVSSスコアがよく判断材料に使われます。
 セキュリティと言えば、「機密性」「完全性」「可用性」の3つで、これがまず基本です。

 　- 基本値 (機密性、完全性、可用性)
 　- 現状値 (攻撃コードの有無、対策情報の利用可否)
 　- 環境値 (二次被害の大きさ)

 CVSSスコアは、これらの脅威をさまざまな観点から評価して付けられています。

 　- 想定される攻撃元 (ローカル、隣接、ネットワーク)
 　- 攻撃の複雑さ
 　- 攻撃前の認証要否
 　- 機密性への影響
 　- 完全性への影響
 　- 可用性への影響
 　- 脅威
 　　-- 任意のスクリプトの実行
 　　-- 情報漏洩
 　　-- なりすまし
 　　-- サービス不能
 　　-- アクセス権限の回避
 　　-- 他システムへの拡散

 単純にCVSSスコアが高い低いということだけでなく、
 脅威の分析結果を実際のシステムに当てはめてみて具体的に検討するのが大事です。

 取りうる対応はさまざまです。

 　- 通信を抑止
 　- サービスを停止
 　- rpmなどのバージョンアップ
 　- 設定変更

 サービスの継続性に関わる対応になりますので、脅威と対応は必ずトレードオフになります。
 運用設計の段階であらかじめある程度想定されるものについて決めておければいいのですが、
 だいたいそういうことにはなりませんので、基本的なところに対応できるエンジニアとしての基礎体力を付けておきましょう。
	情報収集元はいろいろあります。
	関係するプロダクトのものだけでもできるだけ読むようにしましょう。

	- CVE (世界標準の脆弱性リスト)
	- JPCERT/CC (日本での情報発信)
	- ベンダーの対応情報を収集 (サポートサイトから問い合わせ、チケットシステムの参照)

	何かあったときにどれくらい緊急を要するのか? ということで、CVSSスコアがよく判断材料に使われます。
	セキュリティと言えば、「機密性」「完全性」「可用性」の3つで、これがまず基本です。

	- 基本値 (機密性、完全性、可用性)
	- 現状値 (攻撃コードの有無、対策情報の利用可否)
	- 環境値 (二次被害の大きさ)

	CVSSスコアは、これらの脅威をさまざまな観点から評価して付けられています。

	- 想定される攻撃元 (ローカル、隣接、ネットワーク)
	- 攻撃の複雑さ
	- 攻撃前の認証要否
	- 機密性への影響
	- 完全性への影響
	- 可用性への影響
	- 脅威
	-- 任意のスクリプトの実行
	-- 情報漏洩
	-- なりすまし
	-- サービス不能
	-- アクセス権限の回避
	-- 他システムへの拡散

	単純にCVSSスコアが高い低いということだけでなく、
	脅威の分析結果を実際のシステムに当てはめてみて具体的に検討するのが大事です。

	取りうる対応はさまざまです。

	- 通信を抑止
	- サービスを停止
	- rpmなどのバージョンアップ
	- 設定変更

	サービスの継続性に関わる対応になりますので、脅威と対応は必ずトレードオフになります。
	運用設計の段階であらかじめある程度想定されるものについて決めておければいいのですが、
	だいたいそういうことにはなりませんので、基本的なところに対応できるエンジニアとしての基礎体力を付けておきましょう。