アカウント名:
パスワード:
「自社サービスのセキュリティ対策を適切に運用できてないのに、セキュリティ目的を謳い、あまつさえPマークとかISMSとか取っちゃう企業」
っていうのを、セキュリティリスクとして計上すべきではないかしら。
どういうリスクなの?PマークとかISMSを信頼したのにとか言い出すの?該当企業は不正に取得したわけでもないのだから、ダメな企業でも取得可能な認証だと理解しないほうが悪いだろ。
安全を売りにしてる企業が実は安全じゃないってのは十分にリスクたりうるだろ。
あと、Pマークにせよ、ISMSにせよ、適切に運用されてれば「あまりに阿呆なレベルの」脆弱性は放置されない(できない)よ。そんなものを複数回、更新している以上は、審査時の書類に不正があったことは明らかだよ?まあ「その不正を見抜けない認証機関に価値はない」というなら、それはそれで一理あるけど。
でも、だからと言って不正をした側が免責されるわけでもなければ、そういう認証のされ方で「セキュリティが確保されているように見せる」企業があるのは十分にリスクだろうて。誰が悪いという話とは別にさ。
# 「騙されるやつが悪い」で済ますならセキュリティなぞ不要# なぜならその考え方そのものがリスク評価を妨げるから
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
フィッシング詐欺の類型? (スコア:1)
「自社サービスのセキュリティ対策を適切に運用できてないのに、セキュリティ目的を謳い、あまつさえPマークとかISMSとか取っちゃう企業」
っていうのを、セキュリティリスクとして計上すべきではないかしら。
Re: (スコア:0)
どういうリスクなの?
PマークとかISMSを信頼したのにとか言い出すの?
該当企業は不正に取得したわけでもないのだから、ダメな企業でも取得可能な認証だと理解しないほうが悪いだろ。
Re:フィッシング詐欺の類型? (スコア:1)
安全を売りにしてる企業が実は安全じゃないってのは十分にリスクたりうるだろ。
あと、Pマークにせよ、ISMSにせよ、適切に運用されてれば「あまりに阿呆なレベルの」脆弱性は放置されない(できない)よ。
そんなものを複数回、更新している以上は、審査時の書類に不正があったことは明らかだよ?
まあ「その不正を見抜けない認証機関に価値はない」というなら、それはそれで一理あるけど。
でも、だからと言って不正をした側が免責されるわけでもなければ、そういう認証のされ方で「セキュリティが確保されているように見せる」企業があるのは十分にリスクだろうて。誰が悪いという話とは別にさ。
# 「騙されるやつが悪い」で済ますならセキュリティなぞ不要
# なぜならその考え方そのものがリスク評価を妨げるから