格安の脆弱性診断でセキュリティ意識の底上げ 60
ストーリー by wakatono
価格破壊開始 部門より
価格破壊開始 部門より
Anonymous Coward曰く、"ファーストサーバ(株)は、5日のプレスリリースで、同社のドメイン登録サービスの利用者向けに、一ドメイン一回1,980円の脆弱性診断サービスを9月から提供し、診断済みであることを示すマークを提供すると発表した。同社はこのサービス提供の背景を、「必要かつ十分なネットワーク・セキュリティをいかに安価に実現するかが重要な課題」とし、特長として「充実のチェック機能を業界最安値の価格帯でご提供」と説明している。同社は、このサービスの普及で、社会的なセキュリティ意識の底上げを目指すという。"
これまで「高い」といわれていたセキュリティ診断サービスだが、この価格には驚き。本サービスの提供にあたり、ネットアークとの技術提携が行われているが、今後の他社参入も含め、先が楽しみなサービス分野だ。
サービスの相場 (スコア:5, 参考になる)
【100万~】
富士通のセキュリティ診断サービス [fujitsu.com]。スポット診断150万円~(6年前の情報)
【10万~100万】
NECのセキュリティ診断サービス [nec.co.jp]。80万円~/1サイト
セコムのセキュリティ診断サービス [secomtrust.net]。15万円/1~3サーバ
【~10万】
ほくでんのセキュリティ診断サービス [hokuden-it.co.jp]。スポット診断6.5万円/1サーバ
NTTネオメイトのセキュリティ診断サービス [ntt-neo.com]。簡易チェック6万円/1サーバ
パナソニックのサーバ脆弱性診断サービス [panasonic.co.jp]。3万円/1サーバ
NECフィールディングのセキュリティ診断サービス(ライト) [fielding.co.jp]。2万円/1サーバ
サービスの中に改善提案まで含まれる等、一概には言えない所は多々ありますが、
クライアントとして価格だけを見れば、今回のは気持ちいいほどに「破格」ですね。
その他、フリーランスで請け負う方がいると思いますが、恐らく安くはないでしょう。
/*-+/*-+/*-+/*-+/*-+/
Allez! Allez! Allez!
Re:サービスの相場 (スコア:1)
OCNの フレッツIP8 を使ってますが OCN Security Web [ocn.ne.jp] っていうのもあります.
契約者は無料だったような気がします. とはいえこの固定IP-addressのサービス自体が安くはないのであれですが:-p
今回のファーストサーバのも ポートスキャンとDNS/SMTPあたりのチェックだけみたいですので, 似たようなものなのかな.
自動化しないとこの値段では無理かな (スコア:3, 参考になる)
さけません。ほぼすべて自動化されているのでしょうね。
脆弱性を確かめるツールは、オープンソースなどでもそこそこ
ありますから、それをうまく組み合わせて、実現しているの
でしょうね。
この値段だったら、お試しでやってみてもいいなあ、と思える
価格設定ですね。
Re:自動化しないとこの値段では無理かな (スコア:2, 興味深い)
その辺が明確/開示されないとマークも何もあったモンではないと思うけど。
適当な調査を行うくらいならコーディングポリシーでも提出させた方が確実性は高いんじゃないかと思ったりする、とか某セキュリティホールだらけの Web アプリケーションを改修しつつ思ったり。
Re:自動化しないとこの値段では無理かな (スコア:2, 興味深い)
内容によっては、サーバー破壊やサービス停止などの危険も考えられますし。
もっとも、事故の完全な保証をするのいうのであれば話は別ですが。
Re:自動化しないとこの値段では無理かな (スコア:0)
無意味だとか。
Re:自動化しないとこの値段では無理かな (スコア:2, 興味深い)
建てたサーバや、個人商店規模のオンラインショップ等が対象では
ないでしょうか。
そういう人の中には、書籍やWebで拾ってきて適当に貼り付けただけの
CGIを使っている人も少なくないでしょう。
セキュリティは気になるし不安だけど、調査する知識や技術はない、
という人にとっては、
> コーディングポリシーでも提出させた方が
というのは酷です。
# 無論、知識や技術のない人は外向きにサーバを建てるな、という
# 考え方もありでしょうが。
なので、こういうサービスが出て来ること自体は好ましいことだと思います。
まあたしかに、
> 中で何やってんでしょうね。
これはまったくその通りですけど。
プレスリリースによると、
> サイト攻撃の 8 割以上は、不必要なポートが開いていたり、
> 古いバージョンのサーバソフトを使っている等、基本的な
> セキュリティ対策ができていないことに起因します。
> 本サービスでは、検査内容を、この基本的なセキュリティ
> 対策要件に絞り込むことで、
だそうです。
…CGIとかコーディングポリシーとかいうレベルじゃない?
Re:自動化しないとこの値段では無理かな (スコア:3, 参考になる)
・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。
・バナー・チェック: サーバーで使用しているアプリケーションからバージョン
情報やアプリケーション名が取得されないかを検査します。
・DNSやメール・サーバーの設定チェック:DNSやメール・サーバーの設定が
正しく行われているかを検査します。
らしいので、CGIはチェックしてくれないようですよ。
Re:自動化しないとこの値段では無理かな (スコア:2, 興味深い)
つまりマークに金を払うということですね。
Re:自動化しないとこの値段では無理かな (スコア:3, 興味深い)
調べれば自分で作れるものにン百万円もらうのを生業としている身
からすると、この価格というのは良心的だと思いますよ。
どうせ診断結果で判明した脆弱性の対策は別途お見積もりなのでし
ょうけど、"社会的なセキュリティ意識の底上げ"には一役かってく
れるのではないでしょうか。
ただ、「診断済みマーク」を提供するらしいですけど、「脆弱性対
策済みマーク」ではなければ何の意味もないと思うのですが、どう
なのでしょう。
まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
ーク」を高額で売り出す、なんてことはしないと思いますが。
--
そして市が栄えた。
Re:自動化しないとこの値段では無理かな (スコア:0)
> ーク」を高額で売り出す、なんてことはしないと思いますが。
煽りでもなんでもなく、なんでこういう商売をしちゃいけないような
書きっぷりをするのかなぁ? サービスのうちどこを安くして、どこを
高くしてもいいじゃんか。独占市場じゃないんだから。
Re:自動化しないとこの値段では無理かな (スコア:1)
これがビジネスモデルとして成立するかどうか興味があります。
もし「あり」なら、個人的に参入したい。
Re:自動化しないとこの値段では無理かな (スコア:0)
65535全部やるってことなのかな?(しかもTCPとUDP両方)
localからかけても割と時間かかる気がするな。
Re:自動化しないとこの値段では無理かな (スコア:1)
---- 末は社長か懲戒免職 なかむらまさよし
Re:自動化しないとこの値段では無理かな (スコア:1, 興味深い)
こんな脆弱性のありそうなサービス使わなくても(w
いやいや儲けは別のところから (スコア:0)
Re:自動化しないとこの値段では無理かな (スコア:0)
コスト管理という観点からすると、サービス提供後の問い合わせやコンピュータを使ったことによる費用をひっくるめて1980円にしなければならないので、実質的には既知のツールを一括稼働させておしまい、という形でしょうね。
さすが大阪商人ですね(悪い意味で)、と言ったところです。
ここの社長とは顔見知りどころの仲ではないのでAC
セキュリティ診断 (スコア:2, おもしろおかしい)
あ、捕まっちゃいましたか。
Re:セキュリティ診断 (スコア:2, 興味深い)
hoihoi-p 得意淡然、失意泰然。
Re:セキュリティ診断 (スコア:1)
Re:セキュリティ診断 (スコア:1)
hoihoi-p 得意淡然、失意泰然。
Re:セキュリティ診断 (スコア:0)
#602499 のコメントって笑うところ?
Re:セキュリティ診断 (スコア:1)
不快に映ったのであれば申し訳ないです。
セキュリティは管理者が自分で確認し考慮するべきだとおもうんですよ。
んで、確認と管理の両方依頼するんじゃなくて、確認のみ依頼するわけで(たぶん、大半は)、おまけに、「スキャンしましたマーク」を貰うわけですよ。
この状況で、「セキュリティに関する情報が (調査依頼先に) 漏洩する」と言うのは、ブラックジョークにしか思えなかったんですよ。
hoihoi-p 得意淡然、失意泰然。
Re:セキュリティ診断 (スコア:0)
Re:セキュリティ診断 (スコア:0)
検査結果は◎だったのに侵入されたぞ、どうしてくれるんだ!って感じで。
Re:セキュリティ診断 (スコア:0)
Re:セキュリティ診断 (スコア:1, 興味深い)
#短すぎるのでAC
なことより (スコア:2, 興味深い)
脆弱性検査前に、自前のCGIをちゃんとして、自社のセキュリティ意識を底上げして欲しかったりする。
考え方によっては。。。 (スコア:0)
利用者に責任転換している
ようにみえるな。
気のせいかな?
まるで、おまえらのCGIのせいでこうなったんだ、ツールでもめぐんでやるといいたげような。
利用者とファーストとの間のセキュリティ観念に温度差があるようにもみえるな。
もちろん、ファースト側が低いと思われるケースが大きいかと。
Re:考え方によっては。。。 (スコア:1)
ツールを入れれば自分でも簡単にできることですが、仕事でサーバをたてるなら、やってもらおうと思いますね、正直。
簡単にできるといっても、それなりの時間はかかるわけですし。
広く使用されているソフトウェア(OpenSSL や Apache など)の脆弱性にもすぐに対応してくれて、発生のたびにチェックをかけてくれるなら年契約のサービスとして展開してもいけるとおもいます。
「必要かつ十分」ですって? (スコア:2, すばらしい洞察)
不当表示にならんのかしらん。
??? (スコア:1)
Re:??? (スコア:1)
もしも (スコア:1, すばらしい洞察)
ウチのサーバーもファーストサーバーだけど、それをヒタ隠しにして狙われないようにしてたもの。
(もちろん、ファーストサーバー製のCGIなんか元から使ってなかったけれど)
マークの意味がわからない (スコア:1, すばらしい洞察)
ある日に一回だけ診断して、それでマークが付けられるって、有効期限とかどうするんでしょう?
いくらマークがあったって、診断したのが1年前じゃ、全然安全の証にならないですよね。
診断日が何年何月何日という表示をマークに必ず添えるのなら理解できますが。
でもそんなことしたら、ずっと診断されてないということを自ら表示するようなもんですから、そういうことはやらないでしょうね。
結局、このマークは消費者を騙すことにしかならないと思うのですが。
Re:マークの意味がわからない (スコア:0)
セコムから訴えられた人達が居たのを思い出します。
つまり、
中身の無い「何か」を保証しているかのように見えるマーク。
それだけならば安いのは当然ですよ
Re:マークの意味がわからない (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:マークの意味がわからない (スコア:0)
次の商売のきっかけ (スコア:1, 参考になる)
脆弱性に対応できる製品やサービスなどを売りつけるためのきっかけとして考えている場合が殆んど。
1980円という価格は角度の高い顧客をゲットするための布石に過ぎないんじゃないでしょうか?
某カツラ屋さんや化粧品屋さんと似たような商法がセキュリティの業界にも入って来たように感じます。
うちの会社も数万円で似たようなことやってますよ。
Re:次の商売のきっかけ (スコア:1, 参考になる)
こんなサービスを受けてマークを貼って満足するような人たちは、次の顧客にはならんでしょ。
この企画はようするに「当社はセキュリティ意識の高い会社です」というアピールが目的と見るのが順当では。
このサービスを利用して・・・・ (スコア:0)
なにも知らない別の管理者が
「なんじゃこりゃ!!サーバーにアタックをしようとしている組織がいる!!」って事にならんのでしょうか?
Re:このサービスを利用して・・・・ (スコア:3, おもしろおかしい)
Re:このサービスを利用して・・・・ (スコア:1)
いくらハードウェアを固めても、無駄です。
Re:このサービスを利用して・・・・ (スコア:1)
# 無料の自動チェックでしたが、依頼から開始まで数時間のラグがあるとは思わなかったので(言い訳)
この価格だと (スコア:0)
2.結論を見てクラッキングしにいく。
などという、クラッカーの時間節約になる価格ですね。
安いっていいことですね。
# もちろん、良い子はこういうことはしてはいけません。ええ。
Re:この価格だと (スコア:0)
会社のサーバというが、管理者でなければこのサービスは申し込めないようになっているだろう。そして、管理者だったら、脆弱性を突いて入るまでもないわけで。
Re:この価格だと (スコア:0)
読み違い(おふとぴ) (スコア:0, オフトピック)
『彼女の脆弱性診断でセキュリティ意識の底上げ』
と読み違えてしまいました。
彼女がセキュリティチェックをしてくれるんならいいけど、
彼女の脆弱性を診断してくれるサービスだったらいやだ。
「アルコールによって格段に落としやすくなることが
侵入検査の結果判りました。報酬はあなたの彼女だけで
充分です。」
とか。
Re:読み違い(おふとぴ) (スコア:1)
#案外悪くないかも(をぃ)
Re:読み違い(おふとぴ) (スコア:0)