Linux勧告ウォッチ - 2003年8月1日
先週は、セキュリティ・プロジェクトでビジネスケースを作成することの重要性について話した。今年も第三四半期、つまり2004年の予算の調査と作成が本格的に始まる時期に入った。単純に2003年の予算を2004年に引き継ぐ企業もあるが、ほとんどの企業は少し予算を増やすだろう。企業は徐々に楽観的な見方を強めており、それが計画にも現れている。セキュリティ・プロジェクトへの投資の正当性を主張するには、ビジネスケースだけで十分だろうか? 数年前は「イエス」だった。しかし現在の不景気では、1円たりとも無駄な出費は許されない。投資の正当性を主張するための第二のツールはROI分析だ。
ROIとは何だろうか。そして、なぜ重要なのだろうか。ROIとは投資収益率(return on investment)の略だ。これは、企業に対するプロジェクトの総利益を総経費で割ることによって算出される。ROI分析は、プロジェクトの利益を数値的に示すために使われる文書だ。ビジネスケースの1セクションとして含めることも、別の文書として別途用意することもできる。ROI分析には、総保有コストと経費/利益分析の計算も含めることができる。
ROI分析を成功させるには、数種類の情報を含めなければならない。ほとんどの場合は、「要約」から始めるのがよいだろう。ここにはプロジェクトの目的と重要な要因、プロジェクトの実装計画の短い概要を含める。詳細も含めたいと思いがちだが、概要だけにとどめるのがベストだ。「要約」セクションは、通常最初に読むセクションなので、あまりうっとうしくてはいけない。次に、文書の主要セクションはテクノロジの説明に充てる。ここでは既存のテクノロジについて説明する。現在どのようなシステムとプロセスが使われているか。何を使い続け、何を排除するか。また、プロジェクトの結果として実装する新しいテクノロジについても簡単に説明する。
ROI分析の中で最も重要なのは、ビジネス分析だ。企業に対して肯定的な影響を持つビジネス・ドライバの説明と一覧を含める必要がある。ビジネス分析セクションには、プロジェクトの初期投資と経常経費の表を含める。これはセキュリティ関連のプロジェクトなので、利益はなくても経費を示すことは特に重要である。
ROI分析の締めくくりには短いまとめのセクションを用意し、そのプロジェクトを採用することによる金銭的な利益を示す。また、プロジェクトの簡単な概要も含める。ROI分析に含める内容についていくつかの提案をしたが、これらは決まっているわけではない。重要なのは、それぞれの企業に合った文書を作成することだ。
では、また来週。
Benjamin D. Thomas
Expert vs. Expertise: Computer Forensics and the Alternative OS─コンピュータ犯罪調査はもう暗く不可解なプロセスではなく、明るみに出てから既に5年以上経つ。それにも関わらず、注目を浴びるようになったのはごく最近である。
REVIEW: Linux Security Cookbook─実世界の問題に対する単純な解決策というものはめったにない。セキュリティの分野では特にそうである。『Linux Security Cookbook』は、こうした実世界の問題を解決するのに役立つ必須ツールである。本書は、ベテランのシステム管理者から、セキュリティに興味のあるホームユーザに至るまで、あらゆる人に当てはまる状況を網羅しており、自ら述べているように、セキュリティを重視する人にとっては必読の参考書である。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
フリーのApache SSL Guide(Thawte社)─Webサーバのセキュリティが心配な人。ここをクリックしてフリーのApache SSL Guideを入手し、Apache SSLセキュリティに必要なすべての答えを見つけよう。
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。 [ 購読 ]
| 配布元: | Conectiva | ||
| 2003/7/28 | mnogosearch | ||
| 複数の弱点 mnogosearchに複数のバッファ・オーバーフローの弱点が見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3499.html | |||
| 2003/7/29 | perl | ||
| CGI.pm XSSの弱点 CGI.pm perlモジュールにクロス・サイト・スクリプティングに関する弱点が見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3500.html | |||
| 配布元: | Debian | ||
| 2003/7/29 | sup | ||
| 危険な一時ファイルの弱点 supは一時ファイルを作成する際に適切なセキュリティ措置を取らない。 http://www.linuxsecurity.com/advisories/debian_advisory-3501.html | |||
| 2003/7/30 | xconq | ||
| バッファ・オーバーフローの弱点 Steve KempはxconqにUSER環境変数を処理する際のバッファ・オーバーフローを発見した。このバグを修正する際に、DISPLAY環境変数についてもこれと似た問題が発見された。 http://www.linuxsecurity.com/advisories/debian_advisory-3503.html | |||
| 2003/7/31 | gallery | ||
| XSSの弱点 Larry Nguyenは、phpで書かれたWebベースのフォト・アルバムであるgalleryにクロス・サイト・スクリプティングの弱点を発見した。 http://www.linuxsecurity.com/advisories/debian_advisory-3504.html | |||
| 2003/7/31 | xtokkaetama | ||
| XSSの弱点 Steve Kempはパズル・ゲームのxtokkaetamaに2つのバッファ・オーバーフローを発見した。1つは-displayコマンド・ライン・オプションを処理するとき、もう1つはXTOKKAETAMADIR環境変数を処理するときに発生する。 http://www.linuxsecurity.com/advisories/debian_advisory-3505.html | |||
| 配布元: | Mandrake | ||
| 2003/7/25 | kernel | ||
| kernelパッケージの複数の弱点 Linuxカーネルで複数の弱点が発見され、修正された。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3497.html | |||
| 配布元: | Red Hat | ||
| 2003/7/25 | stunnel | ||
| シグナルの弱点 Red Hat Linux 7.1、7.2、7.3、8.0用のアップデート用stunnelパッケージが公開された。これらのアップデートでは、stunnelのシグナル処理に関して発生する可能性のある弱点が修正されている。 http://www.linuxsecurity.com/advisories/redhat_advisory-3498.html | |||
| 2003/7/29 | openssh | ||
| 情報リークの弱点 3.6.1p1よりも前のバージョンのOpenSSHでは、ある特定の条件下で、PAMを使った認証を試行する前に、無効な認証試行を拒否する。 http://www.linuxsecurity.com/advisories/redhat_advisory-3502.html | |||
| 配布元: | TurboLinux | ||
| 2003/7/31 | kdelibs | ||
| 認証の弱点 Konquerorは、パスワードによって保護されたWebサイト上のリンクによって、Webサイトの認証資格情報を知らないうちに第三者に配布する可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3506.html | |||
