上昇する対IIS保険料率 58
ストーリー by wakatono
先見の明あり 部門より
先見の明あり 部門より
ZDNetの記事によると、英保険ブローカーのJ.S. Wurzlerは、IISを利用する顧客の保険料を最大15%引き上げた。要はクラッカーによる被害に遭いやすいIISについてのリスクをそれだけ高いと見込んだ結果であろう。興味深いのは、この措置はでたらめであるという反論が上がっている点である。
その根拠は、MS製品についてはパッチが1箇所で入手できるため、Linuxなどと比べて管理がしやすいというものだが、管理を容易にする環境がそろっているというのと実際に管理しているというのは違う。
ここで勘違いしないで欲しいのは、MS製品だからダメだとかいう点ではないことである。MS製品を用いつつ高いセキュリティを確保したというケースはあるだろうし、素晴らしい管理者の方も多い。が、きっとそういう管理者はOSが何であれきちんとした管理を行うであろう。そうした管理をしない人は、きっと Linux だろうがなんだろうが管理しないだろうし、自分が管理している(と思い込んでる)マシンに何かセキュリティ(に限らないが)問題が発生したら、あらゆるものに責任をなすり、全力で言い逃れをしようとするのではないだろうか。もしかしたら、そういう部分までも想定して Wurzler が保険料率を設定しているのかもしれない。
また、9月に入ってNetcraft調べのWebサーバシェアを見たが、IISの伸び率は鈍化したものの「まだ」伸びている。痛い目見ても懲りない人が多いということか…
現状主義 (スコア:3, 興味深い)
それに対して、手段の何がどうとか反論したって意味が無い。当て外れ。残念。
第一パッチの導入のしやすさを言ったら、 Debian のがよっぽど楽だしね。 apt-get 一発ぽん。
Linux の方が管理がしづらい、ってのも、逆にだって取れるさ。分かりやすいからこそ面倒を見なくなる。そして忘れ去るからシステムの更新作業を怠る。
理屈なんてどーにでもなる。納得させるには、結果を出すしかない。
そして、 IIS 利用者は良い結果を出せていない。それが Microsoft のせいであれ、管理者の怠慢であれ。
保険会社に問題視されたって事を Microsoft が認識してマジになって対策打ってくれば、保険料引き上げ分の考え直しもありそうな気はするけど、はてさてどーだか。
# 俺は Microsoft 信奉者だけどねん(´ー`)
客先のワガママにつき合わなければならないことも。 (スコア:3, すばらしい洞察)
UNIX系OSを扱えても、客先でNT/IISを指定されればそれを使わざるを得ない場合はよくあると思われます。もしかしたら、未だそんなことがあったということを知らない人もいるのかもしれません。
歌舞伎町の爆発事件のごとく、人が死ぬようなくらいキツイ目に遭わないと、管理者(またはしょうがなく管理させられてる人)は目が覚めないんでしょうか。と言っても、俺は誰か死んで欲しいなんて思わないし、その前に目が覚めてくれるにこしたことはないし。とはいえ、今回のあの事件はビルの管理が行き届いてなかったからああいう事件が起こったとも言えるが。PC周りで爆発...数十人逝く。ってあるんかなあ。
ていうかしょうがなく管理させられてる人(名義上の管理者)ってやっぱり、上司からは本業だけやってろみたく言われて、マシンの管理はほったらかし...って十分考えられるケースかもしれませんね。せいぜいマシンの世話をするのは定期的なNTの再起動(笑)とアカウント管理だけで。
コンピュータも自動車並 (スコア:3, 興味深い)
コンピュータのユーザインタフェースを自動車の運転に例えることをよく聞きますが、 保険についても使用しているソフトウェアによって保険料が変わる仕組みを導入したということでしょう。
蛇に怖じない人々 (スコア:2, 興味深い)
ADSL等の普及に伴って、個人でマイサーバーを立てる方々が更に増えるでしょうから、IISのシェアは伸びこそすれ止まることはないでしょう(溜息)。
なんちゃって管理者 (スコア:2, すばらしい洞察)
管理者がタコならどんなものを使っても駄目でしょう。
最初から何でもできりゃそりゃIIS使いたくなるでしょうけれど。
きちんとセキュリティ対策を施されている
サーバなんて社内にはほとんど見あたらないし。
私はIISに対しては「すべて正しい設定ですよ」の性善説で動作すると考えず、
「モラルの無い(設定がなってない)」の性悪説と考えて設定を行ってます。
#変な日本語だなあ...
Re:現状主義 (スコア:2, 参考になる)
バッチって、確かWindowsにはWindows Updateという非常に便利なものがあったような。
使ってる人は、いるのかなあ。
hotfix は別(off topic) (スコア:2, 参考になる)
たしかに Web Browser で更新できるのは便利と思いますが最新の patch、いわゆる hotfix はここにすぐ現れません。
hotfix は
■TechNet Online - マイクロソフト セキュリティ情報一覧
<http://www.microsoft.com/japan/technet/security/current.asp>
でひとつひとつ取得する必要ありです。
ですので
| 使ってる人は、いるのかなあ。
事実上「使えません」。
ひとつひとつ取得する手間にくらべりゃ Debian の apt-get は本当に楽と実感してます。
Re:客先のワガママにつき合わなければならないことも (スコア:2, おもしろおかしい)
プロジェクトに火がついて数十人が逝く、ならば、
あちらこちらで、よく見かけますけど。
from もなか
Re:なんちゃって管理者 (スコア:2)
そういえば、どっかの資料でセキュリティホールの「報告数」の統計が
出ていたんですけど。どこで見たのか思い出せない・・・ごめんなさい
(ソース知っている人いたら教えてください・・・)
それによると、IISは確かにApacheよりもセキュリティホールの「報告数」が
多かったんですが、OSで言うとWindowsよりもLinuxの方が「報告数」が
多かったですね。
まあ、どこまでをOSに含めているのも不明確ですし、どう時系列を
切るかも不明確だったような気がしましたが。
Re:現状主義 (スコア:2)
WindowsUpdate は一応クライアントマシンでは便利に使用させて頂いてるけど、 Windows 2000 使ってセキュリティものとかバージョンアップに敏感になってみてから良く分かったのが、即時性が欠片も無いって事。
IE5.5SP2 とかもリリースしてから何日経ったっけ、 WindowsUpdate に出てきたの?
最近 WindowsMe から見る WindowsUpdate にはセキュリティフィックスもぽつぽつ見るようになってきたけど、 Win2000 の HotFix を見た試しは無い。
もしかしたら、それより速く、 TechNet で発見して対処済み、だったりするのかしら。
と言う訳で、サーバ管理には向きません。多分。
# そこまでやる WindowsUpdate に育ったら、激しく便利で嬉しいぞ> Microsoft (^^;
Re:なんちゃって管理者 (スコア:2, すばらしい洞察)
多かったんですが、OSで言うとWindowsよりもLinuxの方が「報告数」が
多かったですね
IISに致命的かつ巨大な穴が沢山あるから多くのクラッカーがNTの他の
穴を探さないのに対して,Linuxの方は穴を埋めるために積極的にハッ
カーが穴を探すことが多いとかそういうのが影響していそうに思ったり
する.
とはいうもののLinuxブームが続けば,既知の穴を埋めない管理者が
増えてLinuxを狙うクラッカーも増えるでしょうねぇ.
# 「Linuxといえばカーネルだけ」つー突っ込みは御遠慮下され.
MS が CodeRed にやられてるのに? (スコア:2, 興味深い)
> MS製品についてはパッチが1箇所で入手できるため、
> Linuxなどと比べて管理がしやすいというものだが
なるほど、こういう連中は「CodeRed は例外だ、Linux も同じだ」って言うんでしょう。きっと、あと100回「例外」があっても、同じ事を言うでしょうね。それで Linux に1つセキュリティーホールがみつかれば「そら見ろ、 Linux だって同じだ!!」って言うんでしょう。
現実に目を向けよう。 Windows の IIS が CodeRed でやられまくっている時、Linux の Web は被害など受けなかった。ただ大迷惑しただけだ。その「管理しやすい」IIS とやらのせいで。
Re:現状主義 (スコア:2)
Microsoft Personal Security Advisor (MPSA)なるセキュリティホールを簡単に
調べるツールが出ているようです。
ただ、ツール自体の使い勝手は良くても、穴を塞ぐ手段がわかりにくいのが
困りものだそうで。
本当に役立つ? MSの新しいセキュリティー診断ツール(上) (下)
Re:現状主義 (スコア:2)
> # これに[余計なもの]は、ちと酷いと思う。コメント萎縮させちゃうよ(;_;
まったくです。
タイミングよくモデレータ権限がまわってきていてくれれば、ソッコーで
モデレートしなおしてたところですが、あいにく、しばらく回ってきそう
にありません。8月の前半に3回めくらいの機会がめぐってきたんですが……
モデレータ権限がまわってきても、ガイドラインを良く読まずにスコアリン
グしてしまう人が多いのかな。ガイドラインには「上げる」ほうに注力せよ
と指針が掲げられているのに、「下げる」方向のモデレーションのほうが目
につきます。そっちのほうが、単に不満として露出しやすいという理由もあ
るのかもしれないけど。
単に、その人がそれまで受けた教育が、減点法で採点されるものばかりだった
せいだったりして。
"Quidquid latine dictum sit, altum videtur."
自動車の保険からふと連想したんですが (スコア:2, 興味深い)
これって、「契約数が減ってしまうので自動車という凶器は無くなって欲しくないが、 かといって本当に自動車で人が死んでしまうと支払いが増加してしまう。 だから事故は起きて欲しくない」という理由でやっているわけですよね。
ということは、将来は、「Microsoftという災厄の根源は無くなって欲しくないが、 かといって実際の被害は出て欲しくはない」ということになって、 保険業界が一番真剣にセキュリティ対策の情報を流すようになったりして…
# Microsoftのダメっぷりで商売がなりたつ業界がまた一つ増えるのか… ^^;
Re:はぁ? (スコア:2)
この記事に関しては、 wakatono さん一人で編集なさったもんでしょうな。よってタレコミ者、無し。
視点の違いもあるべくも無しと。
まー何ちゅーか、記事自体に見方の偏りがあるよりは、中立(あやふや)な感じのほうが話題のネタとしては良い感じなんではないかなぁ、とか思ったり。
Re:コンピュータも自動車並 (スコア:2, すばらしい洞察)
そのうち、サーバソフトの種類とサーバ管理者の経験とスキルを加味した
保険料率が作成されたりして。
Re:現状主義 (スコア:2, おもしろおかしい)
元気よく「うん、Windows Update は全部やったよ」
などと言われて、思わず目頭が熱くなりました。違うよ、そうじゃないんだよ……!!
はうん。
Re:現状主義 (スコア:2)
Re:客先のワガママにつき合わなければならないことも? (スコア:2)
統計なので正確な情報ではないかもしれません(笑)が、インターネット関連サーバの設置場所は「社内」が主流 という結果が出ているようです。
私もいくらか客先で管理業務を遂行するのですが、サーバ機器をわざわざ社内に置くほどでもないのになあと思いそうなモノがけっこうあります。グループウェアなどの社内システムだから社内に置いて何が悪いといわれるとごもっともなのですが、それをあなたは管理できますか?と聞いてきっちり管理できる人ってそんなにいないと思います。
だから俺にそのマシンを逐次そこへ出向いて管理しろと言われてもちょっと問題です。管理者、また管理できる人間は有限です。金さえ払えば何でもできると信じてどうしようもない方々には悪いかもしれませんが、そういう片意地張っている企業って、アウトソースの仕方が下手というか、アウトソースの意味が分かっていないんじゃないか?と勘ぐりそうです。
Re:非常に便利なWindows Update (スコア:2)
PC UNIXに乗り換えるキッカケ作りには非常に便利なフィーチャーだなと思う。
Re:蛇に怖じない人々 (スコア:2)
「売ってるソフトだから(いくら何でも)そんなに危ない事は無かろう」って程度の認識なんじゃないの?。
Re:客先のワガママにつき合わなければならないことも (スコア:2)
Re:蛇に怖じない人々 (スコア:1)
IIS使えない私がいうのも、アレゲなんですが(笑)。
ぷにお punio@punio.org
Re:客先のワガママにつき合わなければならないことも (スコア:1)
>PC周りで爆発...数十人逝く。
2000年問題のときに騒がれたような、ライフラインの停止みたいなことがあれば、「キツイ目」として認識されるかもしれませんね。
はてさて (Re:はぁ?) (スコア:1)
Re:現状主義 (スコア:1)
をあててくれましたっけ?
まあ、それができるとしてもDebianの方が管理は
しやすいと思う。
あと、一箇所から入手できるというのはメリット
なのだろうか? この間のMSサイトダウンの時のよう
にリスク分散の点からよくないと思うが。
Re:コンピュータも自動車並 (スコア:1)
IIS 使ってる顧客も金持ちだろうから保険料高くしたんじゃねえの?
# よく調べもせずに書いてる。すまぬ。
Re:コンピュータも自動車並 (スコア:1)
Re:コンピュータも自動車並 (スコア:1)
車両保険は昔から新車価格から償却費を差し引いた金額にかかっていた
から高級車ほど高かったし,修理にかかる費用は概ね値段の高い車ほど
高くなるので常識的判断といえましょう.
話題になっているのは,事故率が高いというデータがある車種の場合,
同程度の車両価格で事故率の低い車種よりも値段が高くなるという話
だと思います.10年くらい前に導入されて当時事故が多かったCR-X
とかRX-7とかが保険料が高かったようないいかげんな記憶.
Re:MS が CodeRed にやられてるのに? (スコア:1)
Re:コンピュータも自動車並 (スコア:1)
たとえそれが,故障が多くても安全性が低くても部品が高価くても.
そういうのが,ブランド・ロイヤリティって奴ですかね.
一方,そういう無駄なことに金を使うのが嫌な人は,フォード・エクスプローラなぞを
買う.で,自分が気に入るように手を入れて使う.と.
それは,とても賢いスタンスだけど,誰にもできることではない.
スキルは賢さにおよそ比例しますものね.
無論,コーヴェットを買う人は,他人に危害を加える可能性は,他の車に比べて
多いと看做されていることに無自覚ではいけないでしょうし,
また,エクスプローラブレイザーが手軽な車だといっても,使いっぱなしにすれば,
故障もするし,人に迷惑を掛けることもあるでしょう.
触発された記事:
PC選びと車選びは同じ――超クールなPCよりも平凡なマシンを選ぶ理由
Re:現状主義 (スコア:1)
Windows Updateに現れてないセキュリティパッチが山のようにあるのに、あれさえ当ててれば安心と思っていると。(^^
最新版がどこにあるのかというのをOEM先とMicrosoft、どっちに聞けばいいのか、サポート先も曖昧なのかも?
okome
Re:はぁ? (スコア:1)
編集者の発言がわかりにくいのですよね。
クォーテーションで囲ってる部分が投稿者の発言って
ことはわかるんですけど、ねえ。
投稿者の発言と編集者の発言は明確に区別が付く必要があると思うのですけど。
Re:コンピュータも自動車並 (スコア:1)
#都市伝説かもしれませんけど。
まじめに仕事してる管理者ほど (スコア:1)
MS のセキュリティパッチに対して慎重だ,という話も聞いたことがあります. なんでも Exchange サーバのパッチでエンバグされたものが上がっていたことがあったので,それ以来,パッチをしばらく寝かせる,というワザがあるらしいです.
本来ならば,こういう人達ほど真っ先に対処して然るべきなのだがなぁ…
当てたパッチの管理 (スコア:1)
最近*BSDでもいくつか穴が見つかりましたが、cvsでソースをとっていればcvs update一発で修正済みソースが手に入るのは楽。穴がふさがったかどうかの確認も、ソースのリビジョンやログを読めば1分で確認可能。
これがバイナリ配布などになると、何を当てたかの管理を別にやらないといけないのが面倒なんだよなぁ...(しかも時々inconsistencyが生じる)
Re:なんちゃって管理者 (スコア:1)
Linux や Apache は最新版を入れれば既知の穴はほとんど埋まってるけど、IIS や Windows は最新版 + あれこれのセキュリティパッチを当てないと穴が埋まらない。今後出る新バージョンで埋まってるかというと、違う穴が沢山空いてたりする。
なんちゃって管理者こそが、Linux や Apache を選択して、常にその最新版を使うべですな。
非常に便利なWindows Update (スコア:1)
その時は、キャンセルする事もできずに、仕方無く強制修了>再起動。
結果。見事に、システム壊してくれました。
クリーンインストールGo!
それから、半年ほど恐くて使えませんでした。
Re:客先のワガママにつき合わなければならないことも (スコア:1)
okome
Re:はぁ? (スコア:1)
長文でしかも結局はMS叩きだから、この手の記事にはどうもコメントつけにくいんですよね。
文末にはどうでもいい感想書きっぱなしにされていることが全体的に多いことも、読んでいてイタくなる原因(投稿者が変なこと書いてたりもするんだけど、正直、ムカつくことまである。編集しちゃえ)。それって投稿者に任せたほうがいいんじゃないかな。元ネタが「MS=悪」という雰囲気だと、実際、単調な意見しか上がってこないようだから。記事は一段落目だけで十分。
文体もなんか妙? 「~である」「~だが」「~したがい」など、肩に力が入りすぎな印象。語彙もふつうじゃないと思うんだけど…… 熟語が多いからかなあ。
友だちにニュースを説明するみたいに、ふつうに書いてもらえるとうれしいです。感想はコメントにまかせて。
いいアイディアだなぁ (スコア:1)
企業提携とか買収とか、コンピュータ関係で上記の形を目的としたものを聞いた事がないんだけど今後ありえますね。
逆にセキュリティ情報サイトはスポンサーとして保険業界に目を向けろという事ですね。
いったん落ちだすと (スコア:1)
Mac OS XにもSoftware Updateというのがあるけど、これも自前でソフト入れ替えたりしたあとだと、動作が変になるらしい。
結局、この手の自動アップデート機構って、あんまり信頼できない。
Re:コンピュータも自動車並 (スコア:1)
Re:コンピュータも自動車並 (スコア:1)
だもんで、ユーザーはとても保険料が払えず、アメリカのスポーツカー業界(=世界のスポーツカー業界)はかなりのダメージを受けているとか。
ぽるしぇが一時期危なかったのも保険料の値上げでアメリカ向けの売り上げが激減したからと聞いています。
IISの保険についても単純に払戻率で考慮しているだけだと思いますが・・・・
-----------------
#そんなワタシはOS/2ユーザー:-)
この手の保険の適用範囲って (スコア:1)
CodeRed にやられて、他のマシンをDoS攻撃して、攻撃されたマシン側から、賠償請求された場合も適用できるんでしょうか?
とりあえず、迷惑を被ったほうは、そうやって、声を上げていくべきですね。
管理者としての責任をはっきりさせるためにも。
うっかり八兵衛 (スコア:1)
つまり、IISの管理者にうっかり八兵衛が多いから掛け率上げましたってところなんじゃないだろうか?
うがちすぎですかねぇ…。
#もっとも、M$自体がうっかり八兵衛の巣ってのも、あのセキュリティ情報を見てる限り否定もしがたいけど…。
Re:MS が CodeRed にやられてるのに? (スコア:1)
うちは、jcomですけど。
CodeRedからのアクセスは、数年は残るな。
Re:コンピュータも自動車並(オフトピックですな) (スコア:1)
と聞いていたので、アメリカでMiata(ユーノス ロードスター)を買った時はドキドキしましたけど、他の車種の人の保険料と比較しても、全然変わらなかったですね。もしかしたら微妙に高かったのかもしれませんけど、「めちゃめちゃ高い」ってことは無かったです。でも、「スポーツカーは高いよ」っていう噂はよく聞きますよね。
#もしかして、「Miataはスポーツカーじゃない」ってこと?!
Re:現状主義 (スコア:1)
システム管理者の回転が速いと,セキュリティパッチがインストールされないおそれが高まる,とワーツラー氏は言う。だがWurzlerは,NTやIISを使用する顧客企業が,システム管理者が最高レベルのセキュリティ対策を取っていることを示すことができた場合,保険料の引き下げで対応している。
なんてのがありますね。
やはり、どのような製品を利用しているかではなくて
どのように管理されているかで保険料を決めてもらいたいですね。
とりあえずMicrosoftには保険料が上がった分を値引いてほしい気もする
見たような聞いたような・・・
itinoe