色々な意味で紙にコメント書く気がしなかったのでここに書きます。分かる人だけどうぞ。
対策方法が突っ込みすぎ
「最新バージョンを報告書に書いたほうが親切です」
2回も強調してたけど、僕は反対。利用者は報告書の内容を鵜呑みにしてしまいがちなので、Specificなバージョンを記載してしまうと、報告書が現場に渡るまでの間にバージョンアップがあった場合も盲目的に報告書に記載の古いバージョンをインストールしてしまう可能性が。
最新版はユーザー自身がは公式サイトで確認すべき情報で、報告書に明示することにデメリットはあってもメリットがあるとは考えづらいと思います。
「(テスト用と思われる)ファイルを消してください」
一見テスト用に見えるファイルであっても、実は内部で使用していることも考えられるのでは?迂闊に消去を指示してしまうとトラブルの元。
「必要性を確認の上」と断った方が良いかと。またファイルを使用している場合や、削除に不安がある場合は、削除ではなくアクセス制限を行うというのも一つの手。
「SSLv3を無効化して下さい」
SSLv3を無効化した結果、ガラケーなどからアクセス不能になる可能性もある。システムによっては重大な問題になりかねないので、ここも確認が必要かと。
「具体的な設定を教えてあげると親切です」
「設定例」を提示するぐらいなら良いかもしれませんけど、設定方法は環境により異なることが多いですよね。多くの場合、診断担当者はその設定が実際の環境で有効かつ副作用がないことを確認できる立場にはないはず。設定や検証は診断担当者の職務ではないし、前述のとおり設定例を鵜呑みにした結果、予期せぬ結果を招き兼ねないので下手なことは書かないほうが良いのではないかと。
「NFSが検出されてますが、exportsに何も書いてないのでリスクは低いでしょう」
「勝手な判断による説明は記載しない」って書いてあるのに、実際にマウントして確認せず設定ファイルだけ見て判断するのはおかしくないですか?サービス起動後にexportsが書き換えられてるかもしんないし。
診断条件がよくわからない
内部スキャンなのか外部スキャンなのか分からないので総評が難しい。外部スキャンだとするならFWのポリシーも見直してくださいという指摘も。
前述のNFSのようにサーバの中身が見えることが前提になってるような発言もあったりするが、そんなケースまずないのでは・・・。
リスク評価が現実と離れている
リスク評価の方法を受講者に一任した結果、みんなまさかのOpenVASの吐いた結果そのまんま。その結果、再現性の高いDNSへのDoSがMediumになったりphpinfo()を含むテストページのリスク評価がHighになったりTRACEメソッドがMediumというトンチンカンな結果に。(しかも多分突っ込まれてない)リスク評価はどうあるべきか、ツールにはどんな問題があるか、は最初に触れておいたほうが良いんでないかと。
TRACEメソッドが出てきたから、てっきり徳丸さんの記事を紹介してドヤるのかと思ったらまさかのスルー。えええ・・・
その他
- VMToolsが入っておらずコピペできないのが無駄につらい。
- 報告書フォーマットが書き辛い
- Windows環境がネットに繋がらないのに貧弱、NetcatもないのでTELNETインストールした。Linux検証環境も欲しい。(そこまでの検証は想定してない?)
- 声が非常に聞き取りづらい