--- title: Fediverseセキュリティ情報共有 --- # 『Fediverseセキュリティ情報共有』について 『Fediverseセキュリティ情報共有』は、以下のようなセキュリティ情報の共有を目的とするDiscordサーバーです。 - Fediverseに関係するソフトウェアの脆弱性情報 - セキュリティの技術的なノウハウ - ログやセキュリティ組織などから収集した攻撃情報 - 対策の相談 ## サーバーアイコン 仮に作りました。デザインができる方のブラッシュアップがあると助かります。 ![Fediverseセキュリティ情報共有](https://hackmd.io/_uploads/rkmZysP_6.png) # メンバー 参加は紹介制とし、以下すべての条件を満たしているものとします。 - 3ヶ月以上Fediverseサーバーを運用している管理者であること - 日本語での意思疎通が可能であること - 互助精神を理解し、互助精神に則って行動できること - ルールが守れること # バリュー - 自サーバーの利用者およびFediverse参加サーバーの管理者から求められる信頼と信用、インフラを守る。 - 法令に違反することなく、公正かつ誠実に責任を持って行動する。 参考: [ISC2倫理規約](https://japan.isc2.org/isc2_ethicsagreement.html) # ルール 参加者は参加前に以下のルールを承諾することとします。 1. コンプライアンスの維持 - Fediverse全体やFediverseのサーバー、Fediverseに参加している個人に脅威を与えたり、扇動によって恐怖や混乱を引き起こしたりしない。 - Fediverse全体やFediverseのサーバー、Fediverseに参加している個人に脅威や混乱のもととなるおそれのある情報を外に出さない。 - 事実と推測・考察・感情を区別し、事実に基づいて判断・決断する。 2. コミュニティの維持 - 法令やその他のコンプライアンス違反を除いて相手の思考・意見・判断・決断・行動を否定しない。 - 差別的な言動や人格を貶す言動、個人の感情を優先した言動をしない。また、このコミュニティ(Discordサーバー)やコミュニティに参加している個人に脅威を与えたり、扇動によって恐怖や混乱を引き起こしたりしない。 - 違反を発見したときは、直接指摘せずモデレーターに報告する。モデレーターが認定した事実に基づいて改善の措置をとられることに合意する。 # Discordチャンネル - オンボーディング - ようこそ - 自己紹介 - 運営 - お知らせ(モデレーター以外リードオンリー) - 運営ディスカッション : 運営方針はここで意見を募集します。 - 紹介者 : 『Fediverseセキュリティ情報共有』に紹介したい人のアカウントURLを投稿していくチャンネルです。「この人も呼びませんか?」みたいな話はこちらに投稿してください。 - モデレーター(クローズドチャンネル) : 違反発見時の対応等を話し合うチャンネルです。 - 脆弱性対応 - 脆弱性情報 : アプリケーションサーバー・ミドルウェア・OS等の脆弱性を、JVNや国内外のニュースなどから集積します。 - 対応相談 : 脆弱性情報をもとに対応するにあたっての困りごとを相談するチャンネルです。「これは脆弱性情報なのでは?」といった疑問もまずはこちらに投稿してください。「脆弱性情報」チャンネルはある程度の事実確認がとれたものを流すチャンネルとしたいためです。 - インシデント対応 - 注意喚起 : 確認されたセキュリティインシデントや事案を共有するチャンネルです。 - ログ共有 : 参加者が運営しているサーバーにあるログを共有するチャンネルです。ログ - 対応相談 : 注意喚起やログ共有をもとに対応するにあたっての困りごとを相談するチャンネルです。なお、「これは注意喚起した方がいいのでは?」といった疑問もまずはこちらに投稿してください。「注意喚起」チャンネルはある程度の事実確認がとれたものを流すチャンネルとしたいためです。 - その他 - セキュリティ知識 - セキュリティニュース - 談話室 - 脆弱性対応の「対応相談」やインシデント対応の「対応相談」ほど急を要するわけではないけれどサーバーの参加者に尋ねてみたい……そんなことがあったりするときにお使いください。 # Q&A ## セキュリティの知識はなくてもいいですか? セキュリティの知識があるに越したことはありませんが、知識がないことを理由に参加を拒むことはありません。 ## 情報提供ができそうにないが問題ありませんか? 互助精神は必須ですが、情報提供は必須ではありません。 ## Fediverseの定義をどう考えていますか? 厳密ではありませんが、サーバーが分散していて、プロトコルを使ってコミュニケーションをするネットワークを想定しています。 - 現時点で具体的にはActivityPubプロトコルとMatrixプロトコルのサーバー管理者の参加を想定しています。 - ATプロトコルのように、近い将来本格的に分散が始まると思われるプロトコルのサーバー管理者は今後受け入れていくかどうかディスカッションしていくことを考えています。 ## ホスティングの鯖管も参加できますか? はい、ホスティングの鯖管も参加できます。ホスティングはセキュリティに関する鯖管の負担がかなり軽減されますが、たとえばスパムアカウントへの対応など、ホスティング事業者では対応できないセキュリティ対応も発生します。その点も情報共有を通して支援する対象としています。 ## おひとりさまの鯖管も参加できますか? はい、おひとりさまの鯖管も参加できます。 ## ホスティングでおひとりさまの鯖管も参加できますか? 参加できます。ただ、ホスティングでおひとりさまとなるとスパムアカウントへの対応が不要で、脆弱性情報や攻撃情報もほとんど不要ですので、現実的には参加する意味があまりないかと思います。
Last changed by  
Hidetomo Hosono
2494
Published on HackMD