アカウント名:
パスワード:
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。(略)それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。(略) 弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。(略)それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。(略)
弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
要するに (スコア:3, 興味深い)
Re: (スコア:5, 参考になる)
全く知らないのでなく、セキュリティには金を払っているのだから、
これで防げるのではないかと思っていたという事でしょ。
技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
十分投資に見合った体制だと思っていたと20ページ目に書いている。
技術の専門家だったら責めるのも解るけど、エンドユーザーの態度としては、
こんなもんじゃないかなあとも思うんだけど。
>知らなかったのは行政のせいだなんて
この会社、この社長の発言全てを弁護するわけじゃないがOffice氏の事件以降、
善意の第三者が危険な状態になっている事を
Re:要するに (スコア:4, 興味深い)
>十分投資に見合った体制だと思っていたと20ページ目に書いている。
ここ不思議ですよね。「ハッカーセーフ」というのはSQLインジェクションの脆弱性の診断もやってくれるのだそうですが。
http://www.hackersafe.jp/product/point.html [hackersafe.jp]
「中国のブログ」の記述では、SQLインジェクションの脆弱性をスキャンツールで発見しているようですから、このサービスも当然脆弱性を見つけていたのではないかと思うのですが。どうなんでしょう。
Re:要するに (スコア:2, 参考になる)
HackerSafeのやってるSQLインジェクションチェックは、
サードパーティ製品などに見付かっている既知の問題クエリとかで、決まったパターン。
で、今回問題だったのは、サイトカスタムなSQLインジェクションで、決まってないパターン。
まぁ、売る側からすれば「SQLインジェクション」診断してますと言うが、
実際には無駄なパターンを数多くたれ流しているだけに過ぎず、いざというときの役に立たない。
安かろう、悪かろうな典型だわな。
だがこれは、別にHackerSafeが悪いわけじゃない。
問題は、正しくリスク分析ができなかった連中が悪いんだ。
今回の件くらいの規模のリスクが発生することを見越していれば、
定期的に人力で診断するなりなんなり出来たはずだろう。
Re: (スコア:0)
>問題は、正しくリスク分析ができなかった連中が悪いんだ。
そうかなあ?じゃあ正しいリスク分析って誰がどうやってやるんだろう。
もちろん大手SIerにでも振れば、重厚長大な圧倒的ソリューションで、
守ってくれるかもしれないけど、実際サウンドハウスのような事業主さんだと
情報価値を分析して、実際の脅威(この情報を知るのが難しい)に即しているか
売ってる技術の中身を検討して買いに来いといわれたら困るんじゃないかな。
「WEBサイトの安全証明」
「365日休まずWEBサイトを診断することでハッキングのリスクからウェブサイトを守ります
Re: (スコア:0)
どこの技術者が誰に向かってどういうときにする説明の話?
Re: (スコア:0)
CISOがやるべきだろ。
居ないなら、外部コンサルを雇え。
その方が安い。