nas-315

236: 不明なデバイスさん 2019/06/25(火) 21:54:10.87 ID:SgHEBA4r0
セキュリティに関する質問です。
アイ・オー・データのNASを社内のネットワークに接続し、5年ぐらい使っていたのですが、
最近になってセキュリティ対策チームから、次の脆弱性があるので使用しないように言われました。
・HTTP Debugging Methods (TRACE/TRACK) Enabled
・Missing `httpOnly` Cookie Attribute
・Apache HTTP Server httpOnly Cookie Information Disclosure Vulnerability
Webサーバーとして公開しているなら問題かもしれませんが、通常は外部からアクセスできないところでファイルサーバーとして使っていても、懸念すべきリスクはあるのでしょうか?


238: 不明なデバイスさん 2019/06/25(火) 22:00:40.10 ID:Rh7Bkju30
>>236
そのセキュリティ対策チームに聞けよ

社内ネットワークに脆弱性放置してる物が繋がってる事自体が問題だろ、普通に考えたら

237: 不明なデバイスさん 2019/06/25(火) 21:58:06.74 ID:1jlH4YLY0
それを知ってどうすんの?

239: 不明なデバイスさん 2019/06/25(火) 22:03:11.65 ID:SgHEBA4r0
>>236ですが、なぜセキュリティチームに直接聞かないかというと、何も考えずに「対策はとらないよりとった方がいいでしょ」という人たちだからです。
SynologyのNASの導入も考えていますが、そのまえに正しい理解をしたいと考えています。

240: 不明なデバイスさん 2019/06/25(火) 22:06:34.78 ID:1jlH4YLY0
匿名掲示板で無責任なやつが無責任に肯定したり否定したりしたことを
セキュリティに責任のある部署じゃないあなたが無責任に理解して
セキュリティに責任を負う部署の決定に対して無責任に横槍を入れるわけですねw

242: 不明なデバイスさん 2019/06/25(火) 22:34:15.24 ID:SgHEBA4r0
>>240 何か面白い?
ここでもしヒント(対策が必要な理由でも不要な理由でも)をもらえたら、
それをもとにもっと調べて、次の機種の選定に活かしたり、不要な買い替えを止めたり、
できる。
少なくとも、>>236の一つ目のTRACE Enaled なんて、XSSを実行できないNASではなんの意味もない。
もちろん、無責任に横やりを入れるようなことはしないように気を付けるよ。

244: 不明なデバイスさん 2019/06/25(火) 22:47:52.97 ID:/OcqJRyY0
>>242
240の言う通りだと思うよ
あなたは会社のセキュリティに関する決定に関与する立場では無いのだからセキュリティ部門の指示には基本従うべき
何故なら事故が起きた時にあなたは責任取れないのだから
余計なお世話をどうしてもしたいのなら責任ある回答が出せる機関に問い合わせるべき
それはここじゃない

245: 不明なデバイスさん 2019/06/25(火) 22:53:33.31 ID:sQhgxqI40
無限責任を負ってるなら好きなようにしたら良いけどさ、権限も無いのに管轄外のこと決めるとか、頭おかしいとしか

241: 不明なデバイスさん 2019/06/25(火) 22:27:41.93 ID:aT7dmC6n0
やっかいな話だな
リスクは無さそうに見えるけど、俺には断言できないや

ちなみに、製品のアップデートで対応できるとか、
そのチームから「代わりにこれ使って」みたいな提案はないの?

話の雰囲気からはそんなに有能なチームじゃないんだろうけど、
少ないリソースで頑張ってるのかもね

思い切って IO DATA に聞いてみるとかどうよ?
自分のところの製品ならある程度答えてくれるんじゃないだろうか。

246: 不明なデバイスさん 2019/06/25(火) 22:54:53.09 ID:SgHEBA4r0
>>241 考えていただいて、ありがとうございます。
安全側の断言は、ネットワークセキュリティに限らず無理ですよね。
リスク側の話もありがたいので、わかる方がいたらお願いいたします。

IODATAでは、対応予定はないとのこと。
脆弱性情報データベースに出ているような脆弱性に対しては、ファームウェアの更新で対応しています。
チームに推奨機種を尋ねたところ、そういうのは無いと言われました。推奨して後から問題になるのが嫌なんでしょうね。

248: 不明なデバイスさん 2019/06/25(火) 23:16:02.10 ID:mL8Z0vFcM
なんていうか
中途半端に知識がある人がやる
典型的な失敗

251: 不明なデバイスさん 2019/06/25(火) 23:48:51.04 ID:SgHEBA4r0
>>248
中途半端な知識は認める。
しかし、セキュリティチームに返した質問は、「推奨機種はありまけんか?」だけ。NASの使用は認められている。迷惑はかけていないし、現実では失敗もしていない。
失敗は、ここの人たちが、脆弱性の説明をしてくれると期待したことかな。

250: 不明なデバイスさん 2019/06/25(火) 23:43:08.08 ID:VDxmn9+c0
絶対に悪いことするって分かってるトム・リドルに分霊箱の使い方を教えるのか?ということだよ

253: 不明なデバイスさん 2019/06/25(火) 23:56:45.20 ID:VDxmn9+c0
「どんな脆弱性かも知識が無いので分からない。でも迷惑もかけてないし失敗もしてない。」

イヤイヤイヤ迷惑かけたかどうかも失敗してないかどうかも判別する知識も無いと思うよ。
ひょっとしたらその脆弱性突かれて気づかないうちにデータやられてるかもよ

254: 不明なデバイスさん 2019/06/26(水) 00:23:15.36 ID:vkz5evQxd
ITにもセキュリティにも予算があるんだよ
古いIT機器を更新して予算使うには理由が必要なんだよ
それにいちゃもんつけるこんな奴が社員にいたら直属の部門長にクレーム入れるわ
5年前の機器なんて保守更新すら出来るかわからんのにど素人がとか言われてるよ

255: 不明なデバイスさん 2019/06/26(水) 00:24:11.14 ID:eNG0ubY90
結論:半可通が余計なことして仕事増やすな