パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

格安の脆弱性診断でセキュリティ意識の底上げ」記事へのコメント

  • by ribbon (11750) on 2004年08月07日 8時31分 (#602478) 日記
    1980円なので、人件費を考えると1件あたり10分くらいしか
    さけません。ほぼすべて自動化されているのでしょうね。

    脆弱性を確かめるツールは、オープンソースなどでもそこそこ
    ありますから、それをうまく組み合わせて、実現しているの
    でしょうね。

    この値段だったら、お試しでやってみてもいいなあ、と思える
    価格設定ですね。
    • by Anonymous Coward on 2004年08月07日 9時29分 (#602489)
      中で何やってんでしょうね。
      その辺が明確/開示されないとマークも何もあったモンではないと思うけど。

      適当な調査を行うくらいならコーディングポリシーでも提出させた方が確実性は高いんじゃないかと思ったりする、とか某セキュリティホールだらけの Web アプリケーションを改修しつつ思ったり。
      親コメント
      • 調査にあたって何をするかの 詳細情報 を、事前に知らせてもらう必要があるでしょうね。
        内容によっては、サーバー破壊やサービス停止などの危険も考えられますし。

        もっとも、事故の完全な保証をするのいうのであれば話は別ですが。
        親コメント
      • by ken-1 (4041) on 2004年08月07日 10時53分 (#602509)
        1,980円という金額を考えると、企業相手というよりは、個人が趣味で
        建てたサーバや、個人商店規模のオンラインショップ等が対象では
        ないでしょうか。

        そういう人の中には、書籍やWebで拾ってきて適当に貼り付けただけの
        CGIを使っている人も少なくないでしょう。

        セキュリティは気になるし不安だけど、調査する知識や技術はない、
        という人にとっては、

        > コーディングポリシーでも提出させた方が

        というのは酷です。

        # 無論、知識や技術のない人は外向きにサーバを建てるな、という
        # 考え方もありでしょうが。

        なので、こういうサービスが出て来ること自体は好ましいことだと思います。

        まあたしかに、

        > 中で何やってんでしょうね。

        これはまったくその通りですけど。

        プレスリリースによると、

        > サイト攻撃の 8 割以上は、不必要なポートが開いていたり、
        > 古いバージョンのサーバソフトを使っている等、基本的な
        > セキュリティ対策ができていないことに起因します。
        > 本サービスでは、検査内容を、この基本的なセキュリティ
        > 対策要件に絞り込むことで、

        だそうです。

        …CGIとかコーディングポリシーとかいうレベルじゃない?
        親コメント
        • 調査 [netarc.jp]は、

              ・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。
              ・バナー・チェック: サーバーで使用しているアプリケーションからバージョン
              情報やアプリケーション名が取得されないかを検査します。
              ・DNSやメール・サーバーの設定チェック:DNSやメール・サーバーの設定が
                 正しく行われているかを検査します。 

          らしいので、CGIはチェックしてくれないようですよ。
          親コメント
          • by Anonymous Coward on 2004年08月07日 12時04分 (#602526)
            ちょっと調べれば自分でできそうなものばっかりなんですねぇ
            つまりマークに金を払うということですね。
            親コメント
            • by ysht (20347) on 2004年08月07日 13時29分 (#602544)
              ちょっと調べれば自分でできることにン十万円もらって、ちょっと
              調べれば自分で作れるものにン百万円もらうのを生業としている身
              からすると、この価格というのは良心的だと思いますよ。
              どうせ診断結果で判明した脆弱性の対策は別途お見積もりなのでし
              ょうけど、"社会的なセキュリティ意識の底上げ"には一役かってく
              れるのではないでしょうか。

              ただ、「診断済みマーク」を提供するらしいですけど、「脆弱性対
              策済みマーク」ではなければ何の意味もないと思うのですが、どう
              なのでしょう。
              まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
              ーク」を高額で売り出す、なんてことはしないと思いますが。

              --

              --
              そして市が栄えた。
              親コメント
              • > まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
                > ーク」を高額で売り出す、なんてことはしないと思いますが。
                煽りでもなんでもなく、なんでこういう商売をしちゃいけないような
                書きっぷりをするのかなぁ? サービスのうちどこを安くして、どこを
                高くしてもいいじゃんか。独占市場じゃないんだから。
              • 親コメント主です。
                そのようなサービスが開始された場合に、診断マークがあって対策
                マークがないサイトは、未対策のサイトと思われてしまいますよね。
                たとえ実際は対策していたとしても、何かにつけてひやかされたり
                後ろ指さされる格好のネタになってしまいます。
                つまり、診断マークを貼ってしまったサイトは、対策マークも貼ら
                ざるを
              • チェック結果がシロの場合だけ マークを貼るようにすれいいのにね。
          • Nessus [nessus.org]使えば調べられること、ということですな。

            これがビジネスモデルとして成立するかどうか興味があります。
            もし「あり」なら、個人的に参入したい。
            親コメント
            • >これがビジネスモデルとして成立するかどうか興味があります。

              成立はするでしょう。
              ただし、このサービスだけを見て同じことをやると
              ビジネスとしては確実に失敗するでしょうね。
              • >成立はするでしょう。
                >ただし、このサービスだけを見て同じことをやると
                >ビジネスとしては確実に失敗するでしょうね。

                このサービスだけだと、どう考えても採算合わないと思うが。

                この値段だと顧客管理とか報告書の作成なんか

          • >・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。

            65535全部やるってことなのかな?(しかもTCPとUDP両方)
            localからかけても割と時間かかる気がするな。
          • ほとんど初期設定の部分しか調査無しということみたいですね。
            たいしたことチェックしてないから、そのぐらいの値段なら妥当かな。
    • 「同社のドメイン登録サービスの利用者向けに」というところがミソですね。 悪く言うと客寄せパンダ。 良くいえば抱合せ販売。 あれ、逆かな? まいっか。
      --
      ---- 末は社長か懲戒免職 なかむらまさよし
      親コメント
    • by Anonymous Coward on 2004年08月07日 9時14分 (#602484)
      この手のソリューションを持ってるところに相談すると、お試し程度なら無料でしてくれますよ。
      こんな脆弱性のありそうなサービス使わなくても(w
      親コメント
    • 「○△社の脆弱性データ、一軒百万円でどぉ?」
    • コスト管理という観点からすると、サービス提供後の問い合わせやコンピュータを使ったことによる費用をひっくるめて1980円にしなければならないので、実質的には既知のツールを一括稼働させておしまい、という形でしょうね。

      さすが大阪商人ですね(悪い意味で)、と言ったところです。

      ここの社長とは顔見知りどころの仲ではないのでAC

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...