icmp を通すか、塞ぐか

私がヘルプデスクや運用部門の人間なら、この例のような意見に対してセキュリティオフィスの人間から右頬を引っ叩かれたならグーで殴り返します。 この場合、具体的な代案を提示すべきは常にセキュリティオフィス側の仕事です。決してヘルプデスクや運用部門の仕事ではありません。 さらに言えば、結論としてどうすべきかの判断をするのはあくまで経営者なのであって、セキュリティオフィスにそんな権限はありません。 セキュリティというのは、常に不便さとのトレードオフです。その落としどころを探るのがセキュリティオフィスの仕事のはずです。 右頬を引っ叩く覚悟、殴り返される覚悟を持つことは必要ですが、その場合でも叩くべきは常に経営者であって、決してヘルプデスクや運用部門ではないはずです。

レスポンスありがとうございます。 himazin.blmさんのご指摘は全くその通りだと思います。 また、ご指摘いただいた部分についていささか煽るような表現をしたことをお詫び申し上げます。 私はユーザ系企業で受託システム開発・保守を行っているので、ヘルプデスクや運用部門の人間とも交流があります。開発を行う人間として、セキュリティオフィスに対する認識はhimazin.blmさんのご指摘に同意ものであります。 その立場である私が上記の回答をしたとするとどうでしょう。 私の回答をあえて肯定する考え方はないか。私がした回答の裏を探ってみてもらえたらと思います。 私のした回答は「icmp echo」というスコープに対して、範囲が広くなってしまう思いはありました。 ただ、質問者がセキュリティオフィスの担当者のように思えた事と、結論が「icmp echoを許容する」になるだろうと思ったので、あえてこの回答にて投稿しました。 明日か明後日あたりに、いただいたご指摘に対する返信と、私がこの回答をした理由（前述の"回答の裏"）をコメントさせていただこうと思います。

IPAの調査報告書、参考になります。 「OSがバレる」については、言われてみれば確かに、と思う一方、「タイムスタンプがバレる」は、そうかな? NTPとかで揃えるのが一般的だからバレるもなにも同じでは? と思っています。 以前、あるプロジェクトで災対切替テストをした際、待機系の海外回線を通れなかったということがあり、調査したら、icmpを塞いでいたために大きなパケットが通れなかったことが原因だった、ということがありました。そんなこともあり、icmp をやみくもに塞ぐのもどうかと思うようになっていたのですが、今回、とある調査にあたって traceroute が応答してくれず、あれそういえばなんで閉じているんだろう、と思ったのが質問の背景です。

matoobaさん、コメントありがとうございます。 「タイムスタンプがバレる」とTCP初期化シーケンス番号を正確に推測可能になります。 TCP初期化シーケンス番号が予測できで、パケットのサイズがわかると偽装が可能になります。 多少の語弊はありますが「パケットを偽装して端末に侵入する」ことが可能になります。 （といっても、古くからある脆弱性で各種対処法は産まれています。しかし、Timestampは閉じよっていうのは現在もペネトレやると指摘事項として現れます。閉じるべしってことですね。icmp echoは指摘事項に出てきてないです。某社ではという前提で。） タイムスタンプを使っている認証方式も突破される可能性は高くなります。 乱数を使っている認証でもシード値にタイムスタンプを使っていると同様です。 > あれそういえばなんで閉じているんだろう これから"回答の裏"を投稿します。 当初の回答と同じく「icmp解放だなんて許さん」とう筋書で刺激的な表現をしちゃいますが、 「待機系の海外回線を通れなかったとう事例があって、icmpが必要なのだ」という”根拠があれば” 価値は十分にあると思うので関係各所と調整して進められると良いと思います。

私の回答の裏について記しておきます。 himazin.blmさんからいただいたご指摘には同意するものであります。しかし、それは"要望をする側の立場においては"という前置きがあります。私がした回答は"要望を受ける側の立場"としてのものです。私が仕事上付き合いのあるセキュリティオフィスとの調整において似たような経験があり、そこで得た理解を元に回答させていただきました。 同意すると申し上げておきながら、実を申し上げると himazin.blm さんからいただいたご指摘の内容に同意るのは、過去の私です。指摘いただいた内容は私がかつて持っていた認識と全く同じでした。前述の経験を通し、現在ではその考えを改めて修正しています。 現状の私が himazin.blm さんと完全に意見が合致するのは「セキュリティというのは、常に不便さとのトレードオフ」という部分のみです。その他は「やりがちな間違った認識」というのがコメントに対する総括です。 以下、現在の私のご指摘に対する回答です。 前提として、セキュリティオフィスの業務分掌が「情報の保護とリスク管理」であるものとします。 ■「具体的な代案を提示すべきは常にセキュリティオフィス側の仕事」 これをSAやSEの立場にある人間が言う場合、それは間違いです。具体的な対案を出すのはセキュリティオフィスではありません。システムを構築し運用を設計するSAやSEの仕事です。「icmpを閉じる」とはシステムの設計なのです。そしてシステムの設計と構築はは通常企画から移行にかけてレビューを経て行われているものなので、その観点ではセキュリティオフィスの出る幕はないか、意義を唱えることは「icmpを許可しない」という現状≒セキュリティ上の決定を、その分野を司る業務分掌をもつはずの自分が自らを否定する行為になります。変更をかけるのであれば、利用部門が要望を出し、その要望をもって対応すべきシステムをそのシステムの主管箇所が対応をするものです。セキュリティオフィスはこの対応に際してレビューをする立場となるはずです。 ■「結論としてどうすべきかの判断をするのはあくまで経営者なのであって、セキュリティオフィスにそんな権限はありません。」 これも間違いです。経営者はあらゆる判断を下しますが、すべてのことを実際に判断するわけでもなければ、できるわけでもありません。故に組織は存在し、業務分掌が行われ権限が移譲されます。経営者が行うことは責任を負うことです。必ずしも判断することではないのです。セキュリティオフィスという組織の存在は、経営者からその部分のいくばくかの判断を業務分掌として移譲されていることを示します。ご指摘の内容を鑑みて、おっしゃるように経営者と同等の権限はないとしても、「そんな権限はない」と切って捨てられるほど軽々しい権限を委譲されているものではないのです。担当者レベルではその色を感じることは少ないでしょが、セキュリティオフィスの組織長レベルになれば「現代において己の判断が企業の存亡に係る」と言うほどの緊張と責任を背負っている人も少なくない。そういう組織です。 判断を下すのは経営者とは限らず、経営者は責任を負うことになる存在であり、 セキュリティオフィスとは、経営から業務を分掌されることで一部判断を委ねられた重要な組織なのだ というのが私の認識です。 ■「落としどころを探るのがセキュリティオフィスの仕事」 "落としどころ"とは"要望によって得られる効果に対してどの程度のリスクを許容するか"が具体です。 諮る事柄は「icmpを解放することに対してリスク許容してもらえますか？」となると思います。 これに対して「OKだよ」と答えを出す材料を出すか、それをセキュリティオフィスに求めるか。 「他の企業が許可しているから我が社だって許可したって大丈夫」って言いうか、言わせるか。 結局はそこで議論が平行線になるはずです。判断材料が必要になります。判断材料、つまり金です。 私は回答において「コスト」や「ロス」を見て判断すると書きました。「金で判断となる」と。 ※回答表誤りがありましたのでお詫びして訂正します。（回答本文も訂正します） コストとは、ユーザ部門や運用部門にて発生する工数を指します。 ロスとは、機会損失による収入や回収の消失および損害賠償を指します。 （当初回答ではコストとロスを逆の意味で書いていました） ロスはセキュリティオフィスが想定損害額を見積もることはできるでしょう。ですがコストは別。 コストを出せるのは、今回の場合ヘルプデスクと運用部門です。 そのコストが損害賠償額に対してどうかが「落とす」「落とさない」の判断ポイントになります。 落としどころを探るセキュリティオフィスは、落としどころに必要な情報を自身で得られないのです。 忘れてはならないのは情報の所管箇所です。 セキュリティオフィス、ヘルプデスク、運用部門。いずれも情報の所管箇所ではありません。 情報の所管箇所とは、例えば顧客情報であれば営業部門。技術や設計情報であれば設計部門といった組織。セキュリティ事件において、直接的にダメージを受ける組織はこれら情報の所管箇所です。 金の判断をなしにセキュリティオフィスが落としどころを探るとするならば、こうした情報所管組織に対して漏洩リスクを許諾してもらえるかどうか諮るような話になります。 今回の「icmpを解放する」のを情報所管部門が許諾する可能性があるとすれば、情報所管組織自身がクレームや自身の業務に支障が出るほどの不都合が発生している状況がある場合しか考えられません。もし、そんな状況があるならば、それはシステムの設計そのものを見直すべきで、となればセキュリティオフィスが関わる以前の話です。 落としどころをセキュリティオフィスに出せと言ったところで、 セキュリティオフィスが判断や情報所管組織を説得するには根拠や材料が必要。 その情報はセキュリティオフィスだけで出せるものでなく、ポイントとなる情報は要望元が持つ。 要求したところで、目的を達成するための情報は自分自身で提出しなければならない認識です。 今回でいえば、ヘルプデスクや運用部門が頑張る必要があるということです。 といった裏がありまして、 「楽がしたい程度なら出直せ」「作業の効率化をしろ」と言い、 それでもしたいというなら「相談に乗って一緒になってエスカレーション」 つまり、「人の手でやっていることを機械化（自動化）する方向を実施するための調整」をする と回答を投稿しました。 「骨は折れるがログを見て確認できる」ならば、ヘルプデスクに必要なのは「icmpの解放」ではないのです。 「通信元/通信先を限定している」ならば、運用が語るべきは「通信先/通信先を限定しないことの意義」なのです。 不満は十分。必要なのは要件定義。 そして、要件はいずれにおいても「icmpの解放ではない」という認識で、 だから「そんなリスクは犯さず」「ちゃんと考えさせて検討させる」ことが必要だと思っています。 これが、私のmatobaaさんに向けたメッセージです。 最後に、あえて聞きます。 仮に自分自身が経営者であった時 現状、運用で対応が行えている事実があるのに 複数案あるわけでもなくセキュリティリスクを対価にするという案一択の状態で かつコスト面について全く触れもせずに 裁可願いますという内容で 聞いてみたら、エスカレーションされてきた理由が「不便だから」です そういう企画書が来た。 どう答えますか？ 指摘の要望としての視座・視点での言い分は非常によくわかる。 けれど、その視座・視点での主張や指摘には説得力があるのか。 私た書いた今回のコメントを論破（セキュリティオフィスが動けるような後押しが）できるのか。 もしもできるのであれば、私自身とても知りたいです。 セキュリティオフィスとの調整は大変なのでね。