5月20日のtwitterセキュリティクラスタ
今日のセキュリティクラスタの話題はSymantecがVeriSignのセキュリティ事業を買収することについてです。さすがに業界の大手のことなので食いつきが違います。
そして、過去の買収話に。
そして、Symantecによって買収された会社の技術者がいなくなる理由について。
発注側のセキュリティ要件の取り組み方についての原稿に、容赦ない突っ込みが入ってます。
ナイス突っ込み。
Cookieを悪用したSQLインジェクション攻撃が多いそうです。注意しましょう。
セキュリティ系の会社に勤めてると、セミナーやカンファレンスには経費で参加できていいですね。うらやましいです。
どこにもお値段が書いてないと思ったらタダだったのか… 知らなかった。
ripjyr: I'm reading now:Symantec、VeriSignのセキュリティ事業を買収へ http://www.itmedia.co.jp/enterprise/articles/1005/20/news023.html
connect24h: えぇぇぇぇ。また、食べておなか壊すぞ。
sen_u: えーー。
sen_u: そしてVerisignには何が残るんだ?
ockeghem: 僕もそれを思った RT @sen_u: そしてVerisignには何が残るんだ?
sugusugu77: @sen_u ドメインレジストリ業務。気になるのは、root dns のDNSSEC対応部門は、セキュリティ事業部分なのか、それ以外なのか。セキュリティ事業側には含まれていないと思うんだけど、確認は必要ではないか?
sen_u: そうかそれが残ってましたか。DNSはどっちだろう。 RT @sugusugu77: @sen_u ドメインレジストリ業務。気になるのは、root dns のDNSSEC対応部門は、セキュリティ事業部分なのか、それ以外なのか。セキュリティ事業側には含まれていないと思うんだけど、確認
sen_u: symantecのプレスリリースを見る限りはDNS関連はなさそう。Verisignから買収するのは証明書とPKIかな。 http://bit.ly/cZ5f3N
sugusugu77: @sen_u DNSSECって、DNSへのPKI応用そのものなんだけど。ドキドキ....
sen_u: むー。
そして、過去の買収話に。
MasafumiNegishi: しかし、Symantecってセキュリティ会社を次々と買収するけど、うまくいったケースってあるのかね?
connect24h: ほとんど無い。マカフィーも同じ。コアな技術者みんなやめちゃうし。
tessy_jp: そういえばiDefenseもSymantecになるんかしら?
moton: Symantech Deepsightとかぶりますよね(^_^;) RT @tessy_jp: そういえばiDefenseもSymantecになるんかしら?
kensukesan: かぶるのは飼い殺して市場独占(
そして、Symantecによって買収された会社の技術者がいなくなる理由について。
kensukesan: 大抵、買収された会社の給与水準より買収した会社の給与水準の方が安いから・・・と Symantecの知り合いが言ってた RT @connect24h ほとんど無い。マカフィーも同じ。コアな技術者みんなやめちゃうし。
connect24h: そうそう。Symantecは給与が余り高くないらしいし。まぁ、入社の経路(ストレージ系とか)によるらしいけど。
kensukesan: 給与体系 事務・経営系 > 技術系 も大きい。大体、SAVの定義作ってるやつでMAXで年俸5Mくらい・・・
kensukesan: あ、5M円です(笑 RT @connect24h 5Mドル?5M円? RT @kensukesan: 給与体系 事務・経営系 > 技術系 も大きい。大体、SAVの定義作ってるやつでMAXで年俸5Mくらい・・・
kensukesan: あー、というか、日本のSymantecの事務方の知人からの情報ですけどね RT @connect24h いやいや。それはない。フィリピンとかなら分かりますが・・・日本だったら、もうちょっとましでしょ。
connect24h: 外資系なので、新卒入社があるか分かりませんが、入社経緯で年収は違うはず。5M円の人もいれば10M円の人もいると思いますが、あと平均は知らない。 、年収なのか、手取りなのかも RT @kensukesan: あー、というか、日本のSymantecの事務方の知人からの情報ですけどね
発注側のセキュリティ要件の取り組み方についての原稿に、容赦ない突っ込みが入ってます。
ockeghem: 典型的にダメなセキュリティ要求の例ですね。RFPにアンチウィルスの要求があるから WindowsでWebサイトを構築するという見本 RT @ripjyr: I'm reading now:セキュリティに関する要求の取りまとめ方 http://j.mp/asWbvt 。。。。。ん?
ockeghem: ですね。あとインフラについてはサポートライフサイクルに言及して欲しいです。 RT @rryu2010: @ockeghem インフラに寄りすぎているというか、肝心の構築するシステムについてはシステムセキュリティポリシーの一言で何も書いてないに等しいですねえ。
ikepyon: @rryu2010 確かに。それに機密性に偏りすぎ。可用性や完全性についての話が無い。STRIDEについてきっちり考えてRFPは作ったほうがいいと思うけどなぁ
ikepyon: それに、アクセス権はフォルダ、ファイルじゃなくて、どのデータにどういうアクセス権を与えるのかと言うのがいいと思うんだが。データの集合がファイルになったり、ファイルの集合がフォルダになるわけだから
ikepyon: ファイル、フォルダは作る側に自由にさせてくれよとか思う
bakera: @ockeghem 「ユーザがファイルアップロードできるサービスではウィルスチェックをしなければならない」というポリシーなら実際にありますよね。そういう具体的な要求があるなら良いと思いますが……れはそれで良いと思いますが、この書き方は意味がわからない
ockeghem: ですねぇ。そうすると公開サーバーにアンチウィルスいれないでも構築する方法ありますし。 @bakera: @ockeghem 「ユーザがファイルアップロードできるサービスではウィルスチェックをしなければならない」というポリシー…そういう具体的な要求があるなら良いと思いますが……
ockeghem: でもITproに出ていたセキュリティ要求が、今の世の中の典型で、まだセキュリティ要求の項目がRFPにあるだけマシというのが実態だと思います
rryu2010: @ockeghem インフラに寄りすぎているというか、肝心の構築するシステムについてはシステムセキュリティポリシーの一言で何も書いてないに等しいですねえ。
ikepyon: @ockeghem それはそうかもしれませんね。セキュリティはよきにはからえが多そうだし・・・
ikepyon: せめてRFPにはこういう脅威があるから、なんか対策考えて!ぐらいは欲しい。具体的な実装方法はベンダーまかせで良いと思うんだよなぁ。
ikepyon: でてきた対策の有効性とか評価するの大変だろうけど
ockeghem: そそ。コスト見合いの中で、有効な対策を形にするのってすごく難しいし、それを評価できる人も少ないです RT @ikepyon: でてきた対策の有効性とか評価するの大変だろうけど
ikepyon: @ockeghem オレオレセキュリティ要件みたいなのをRFPや仕様書に書かれて、これ意味無いよなぁとか思いながら作るのも嫌ですけどw
ナイス突っ込み。
ntsuji: 「Webサイトの改ざんを確認できるサービス、リンクらが提供」http://bit.ly/92HlcQ 「改竄チェッカーでは、特定のスクリプトやコードに依存しない」ですが、この仕組みは「動作環境:Red Hat Enterprise Linux ES4/5」なんですね。
Cookieを悪用したSQLインジェクション攻撃が多いそうです。注意しましょう。
lac_security: 現場の一言。18日夜からCookieを悪用したSQLインジェクション攻撃 (Declare)がやたら多い。攻撃者の狙いはウェブサイトを改ざんし、アクセスしたユーザにウイルス感染させることです。 (^あ)
セキュリティ系の会社に勤めてると、セミナーやカンファレンスには経費で参加できていいですね。うらやましいです。
ymzkei5: ぬわにぃ・・・! WASFカンファレンス2010の参加費、自腹で払ったのに・・・。 まさか会社にチケットがあったとは・・・。(涙
どこにもお値段が書いてないと思ったらタダだったのか… 知らなかった。
ripjyr: 6/1 ネットエージェント設立10周年記念カンファレンスやります。僕もパネルで登壇します!10年分の愛をこめて祝賀パーティも含めて参加費無料です!http://bit.ly/NA-10th-Aniv #netagent10th
