パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

格安の脆弱性診断でセキュリティ意識の底上げ」記事へのコメント

  • 1980円なので、人件費を考えると1件あたり10分くらいしか
    さけません。ほぼすべて自動化されているのでしょうね。

    脆弱性を確かめるツールは、オープンソースなどでもそこそこ
    ありますから、それをうまく組み合わせて、実現しているの
    でしょうね。

    この値段だったら、お試しでやってみてもいいなあ、と思える
    価格設定ですね。
    • 中で何やってんでしょうね。
      その辺が明確/開示されないとマークも何もあったモンではないと思うけど。

      適当な調査を行うくらいならコーディングポリシーでも提出させた方が確実性は高いんじゃないかと思ったりする、とか某セキュリティホールだらけの Web アプリケーションを改修しつつ思ったり。
      • by ken-1 (4041) on 2004年08月07日 10時53分 (#602509)
        1,980円という金額を考えると、企業相手というよりは、個人が趣味で
        建てたサーバや、個人商店規模のオンラインショップ等が対象では
        ないでしょうか。

        そういう人の中には、書籍やWebで拾ってきて適当に貼り付けただけの
        CGIを使っている人も少なくないでしょう。

        セキュリティは気になるし不安だけど、調査する知識や技術はない、
        という人にとっては、

        > コーディングポリシーでも提出させた方が

        というのは酷です。

        # 無論、知識や技術のない人は外向きにサーバを建てるな、という
        # 考え方もありでしょうが。

        なので、こういうサービスが出て来ること自体は好ましいことだと思います。

        まあたしかに、

        > 中で何やってんでしょうね。

        これはまったくその通りですけど。

        プレスリリースによると、

        > サイト攻撃の 8 割以上は、不必要なポートが開いていたり、
        > 古いバージョンのサーバソフトを使っている等、基本的な
        > セキュリティ対策ができていないことに起因します。
        > 本サービスでは、検査内容を、この基本的なセキュリティ
        > 対策要件に絞り込むことで、

        だそうです。

        …CGIとかコーディングポリシーとかいうレベルじゃない?
        親コメント
        • 調査 [netarc.jp]は、

              ・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。
              ・バナー・チェック: サーバーで使用しているアプリケーションからバージョン
              情報やアプリケーション名が取得されないかを検査します。
              ・DNSやメール・サーバーの設定チェック:DNSやメール・サーバーの設定が
                 正しく行われているかを検査します。 

          らしいので、CGIはチェックしてくれないようですよ。
          親コメント
          • by Anonymous Coward on 2004年08月07日 12時04分 (#602526)
            ちょっと調べれば自分でできそうなものばっかりなんですねぇ
            つまりマークに金を払うということですね。
            親コメント
            • by ysht (20347) on 2004年08月07日 13時29分 (#602544)
              ちょっと調べれば自分でできることにン十万円もらって、ちょっと
              調べれば自分で作れるものにン百万円もらうのを生業としている身
              からすると、この価格というのは良心的だと思いますよ。
              どうせ診断結果で判明した脆弱性の対策は別途お見積もりなのでし
              ょうけど、"社会的なセキュリティ意識の底上げ"には一役かってく
              れるのではないでしょうか。

              ただ、「診断済みマーク」を提供するらしいですけど、「脆弱性対
              策済みマーク」ではなければ何の意味もないと思うのですが、どう
              なのでしょう。
              まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
              ーク」を高額で売り出す、なんてことはしないと思いますが。

              --

              --
              そして市が栄えた。
              親コメント
              • > まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
                > ーク」を高額で売り出す、なんてことはしないと思いますが。
                煽りでもなんでもなく、なんでこういう商売をしちゃいけないような
                書きっぷりをするのかなぁ? サービスのうちどこを安くして、どこを
                高くしてもいいじゃんか。独占市場じゃないんだから。
              • 親コメント主です。
                そのようなサービスが開始された場合に、診断マークがあって対策
                マークがないサイトは、未対策のサイトと思われてしまいますよね。
                たとえ実際は対策していたとしても、何かにつけてひやかされたり
                後ろ指さされる格好のネタになってしまいます。
                つまり、診断マークを貼ってしまったサイトは、対策マークも貼ら
                ざるを
              • チェック結果がシロの場合だけ マークを貼るようにすれいいのにね。
          • Nessus [nessus.org]使えば調べられること、ということですな。

            これがビジネスモデルとして成立するかどうか興味があります。
            もし「あり」なら、個人的に参入したい。
            親コメント
            • >これがビジネスモデルとして成立するかどうか興味があります。

              成立はするでしょう。
              ただし、このサービスだけを見て同じことをやると
              ビジネスとしては確実に失敗するでしょうね。
              • >成立はするでしょう。
                >ただし、このサービスだけを見て同じことをやると
                >ビジネスとしては確実に失敗するでしょうね。

                このサービスだけだと、どう考えても採算合わないと思うが。

                この値段だと顧客管理とか報告書の作成なんか

          • >・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。

            65535全部やるってことなのかな?(しかもTCPとUDP両方)
            localからかけても割と時間かかる気がするな。
          • ほとんど初期設定の部分しか調査無しということみたいですね。
            たいしたことチェックしてないから、そのぐらいの値段なら妥当かな。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...