この広告は、90日以上更新していないブログに表示しています。

2007-07-24

論点の整理

Tarikiさんからコメントが長くなったのでこっちに書くというコメントをいただいた。私がうまく書ききれていないからかもしれないが、発散している部分もあるので、一度整理してみた。

攻撃者想定

攻撃者はバナーなんか見てない、だからバナー隠蔽なんて意味が無い。
というのが、Tarikiさんの元記事の反論の根幹になっているように思うのですが、攻撃者想定がTarikiさんと辻さんとで違っていて、客観的な統計などなしで攻撃者はバナーを見ないといくら反論してもあまり意味が無いと思うんですよね。
私はバナー隠蔽によって「無数にやってくる攻撃者がみんな見逃してくれる」なんて思っていないし、想像でどれくらい多い少ないの量的な話をするつもりはありません。

防御側想定

セキュリティ問題が発生したらできるだけ早く根本的対策をとるのは大前提ですが、すぐに根本的な対策が取れないケースを考えておくべきです。
根本的対策だけではなく、攻撃対象にされにくくしたり攻撃されても影響を受けにくくしたりする保険的な対策を積み上げておくべきだと思います。

バナー隠蔽の効果

バナー隠蔽はそれだけで大きな効果を発揮するものではないです。セキュアなサーバ構築手順としてはCIS*1やIPA*2のもの等がありますが、バナー隠蔽はそれらの手順の1部分として書かれているに過ぎません。これらの手順に書かれている一つ一つはさほど大きな効果を発揮するものではないでしょうが、それらが積み上がることでそれなりの効果が生まれてきます。

*1:CIS Benchmarks

*2:セキュアなWebサーバーの構築と運用