パスワードを忘れた? アカウント作成
8702 story

格安の脆弱性診断でセキュリティ意識の底上げ 60

ストーリー by wakatono
価格破壊開始 部門より

Anonymous Coward曰く、"ファーストサーバ(株)は、5日のプレスリリースで、同社のドメイン登録サービスの利用者向けに、一ドメイン一回1,980円の脆弱性診断サービスを9月から提供し、診断済みであることを示すマークを提供すると発表した。同社はこのサービス提供の背景を、「必要かつ十分なネットワーク・セキュリティをいかに安価に実現するかが重要な課題」とし、特長として「充実のチェック機能を業界最安値の価格帯でご提供」と説明している。同社は、このサービスの普及で、社会的なセキュリティ意識の底上げを目指すという。"

これまで「高い」といわれていたセキュリティ診断サービスだが、この価格には驚き。本サービスの提供にあたり、ネットアークとの技術提携が行われているが、今後の他社参入も含め、先が楽しみなサービス分野だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • サービスの相場 (スコア:5, 参考になる)

    by mirz (21166) on 2004年08月07日 9時30分 (#602490) 日記
    類似の既存サービスの価格について、さらっと調べてみました。
    【100万~】
    富士通のセキュリティ診断サービス [fujitsu.com]。スポット診断150万円~(6年前の情報)

    【10万~100万】
    NECのセキュリティ診断サービス [nec.co.jp]。80万円~/1サイト
    セコムのセキュリティ診断サービス [secomtrust.net]。15万円/1~3サーバ

    【~10万】
    ほくでんのセキュリティ診断サービス [hokuden-it.co.jp]。スポット診断6.5万円/1サーバ
    NTTネオメイトのセキュリティ診断サービス [ntt-neo.com]。簡易チェック6万円/1サーバ
    パナソニックのサーバ脆弱性診断サービス [panasonic.co.jp]。3万円/1サーバ
    NECフィールディングのセキュリティ診断サービス(ライト) [fielding.co.jp]。2万円/1サーバ

    サービスの中に改善提案まで含まれる等、一概には言えない所は多々ありますが、
    クライアントとして価格だけを見れば、今回のは気持ちいいほどに「破格」ですね。
    その他、フリーランスで請け負う方がいると思いますが、恐らく安くはないでしょう。
    --

    /*-+/*-+/*-+/*-+/*-+/
    Allez! Allez! Allez!
    • by one-one (17888) on 2004年08月07日 12時40分 (#602533) 日記

      OCNの フレッツIP8 を使ってますが OCN Security Web [ocn.ne.jp] っていうのもあります.
      契約者は無料だったような気がします. とはいえこの固定IP-addressのサービス自体が安くはないのであれですが:-p

      今回のファーストサーバのも ポートスキャンとDNS/SMTPあたりのチェックだけみたいですので, 似たようなものなのかな.

      親コメント
  • by ribbon (11750) on 2004年08月07日 8時31分 (#602478) 日記
    1980円なので、人件費を考えると1件あたり10分くらいしか
    さけません。ほぼすべて自動化されているのでしょうね。

    脆弱性を確かめるツールは、オープンソースなどでもそこそこ
    ありますから、それをうまく組み合わせて、実現しているの
    でしょうね。

    この値段だったら、お試しでやってみてもいいなあ、と思える
    価格設定ですね。
    • by Anonymous Coward on 2004年08月07日 9時29分 (#602489)
      中で何やってんでしょうね。
      その辺が明確/開示されないとマークも何もあったモンではないと思うけど。

      適当な調査を行うくらいならコーディングポリシーでも提出させた方が確実性は高いんじゃないかと思ったりする、とか某セキュリティホールだらけの Web アプリケーションを改修しつつ思ったり。
      親コメント
      • 調査にあたって何をするかの 詳細情報 を、事前に知らせてもらう必要があるでしょうね。
        内容によっては、サーバー破壊やサービス停止などの危険も考えられますし。

        もっとも、事故の完全な保証をするのいうのであれば話は別ですが。
        親コメント
      • by ken-1 (4041) on 2004年08月07日 10時53分 (#602509)
        1,980円という金額を考えると、企業相手というよりは、個人が趣味で
        建てたサーバや、個人商店規模のオンラインショップ等が対象では
        ないでしょうか。

        そういう人の中には、書籍やWebで拾ってきて適当に貼り付けただけの
        CGIを使っている人も少なくないでしょう。

        セキュリティは気になるし不安だけど、調査する知識や技術はない、
        という人にとっては、

        > コーディングポリシーでも提出させた方が

        というのは酷です。

        # 無論、知識や技術のない人は外向きにサーバを建てるな、という
        # 考え方もありでしょうが。

        なので、こういうサービスが出て来ること自体は好ましいことだと思います。

        まあたしかに、

        > 中で何やってんでしょうね。

        これはまったくその通りですけど。

        プレスリリースによると、

        > サイト攻撃の 8 割以上は、不必要なポートが開いていたり、
        > 古いバージョンのサーバソフトを使っている等、基本的な
        > セキュリティ対策ができていないことに起因します。
        > 本サービスでは、検査内容を、この基本的なセキュリティ
        > 対策要件に絞り込むことで、

        だそうです。

        …CGIとかコーディングポリシーとかいうレベルじゃない?
        親コメント
        • 調査 [netarc.jp]は、

              ・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。
              ・バナー・チェック: サーバーで使用しているアプリケーションからバージョン
              情報やアプリケーション名が取得されないかを検査します。
              ・DNSやメール・サーバーの設定チェック:DNSやメール・サーバーの設定が
                 正しく行われているかを検査します。 

          らしいので、CGIはチェックしてくれないようですよ。
          親コメント
          • by Anonymous Coward on 2004年08月07日 12時04分 (#602526)
            ちょっと調べれば自分でできそうなものばっかりなんですねぇ
            つまりマークに金を払うということですね。
            親コメント
            • by ysht (20347) on 2004年08月07日 13時29分 (#602544)
              ちょっと調べれば自分でできることにン十万円もらって、ちょっと
              調べれば自分で作れるものにン百万円もらうのを生業としている身
              からすると、この価格というのは良心的だと思いますよ。
              どうせ診断結果で判明した脆弱性の対策は別途お見積もりなのでし
              ょうけど、"社会的なセキュリティ意識の底上げ"には一役かってく
              れるのではないでしょうか。

              ただ、「診断済みマーク」を提供するらしいですけど、「脆弱性対
              策済みマーク」ではなければ何の意味もないと思うのですが、どう
              なのでしょう。
              まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
              ーク」を高額で売り出す、なんてことはしないと思いますが。

              --

              --
              そして市が栄えた。
              親コメント
              • > まさか、このサービスが十分に行き渡った後に「脆弱性対策済みマ
                > ーク」を高額で売り出す、なんてことはしないと思いますが。
                煽りでもなんでもなく、なんでこういう商売をしちゃいけないような
                書きっぷりをするのかなぁ? サービスのうちどこを安くして、どこを
                高くしてもいいじゃんか。独占市場じゃないんだから。
          • Nessus [nessus.org]使えば調べられること、ということですな。

            これがビジネスモデルとして成立するかどうか興味があります。
            もし「あり」なら、個人的に参入したい。
            親コメント
          • >・ポートスキャン(TCP/UDP): すべてのポートをスキャンし、検査します。

            65535全部やるってことなのかな?(しかもTCPとUDP両方)
            localからかけても割と時間かかる気がするな。
    • 「同社のドメイン登録サービスの利用者向けに」というところがミソですね。 悪く言うと客寄せパンダ。 良くいえば抱合せ販売。 あれ、逆かな? まいっか。
      --
      ---- 末は社長か懲戒免職 なかむらまさよし
      親コメント
    • by Anonymous Coward on 2004年08月07日 9時14分 (#602484)
      この手のソリューションを持ってるところに相談すると、お試し程度なら無料でしてくれますよ。
      こんな脆弱性のありそうなサービス使わなくても(w
      親コメント
    • 「○△社の脆弱性データ、一軒百万円でどぉ?」
    • コスト管理という観点からすると、サービス提供後の問い合わせやコンピュータを使ったことによる費用をひっくるめて1980円にしなければならないので、実質的には既知のツールを一括稼働させておしまい、という形でしょうね。

      さすが大阪商人ですね(悪い意味で)、と言ったところです。

      ここの社長とは顔見知りどころの仲ではないのでAC

  • セキュリティ診断 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2004年08月07日 8時21分 (#602474)
    無料でしてくれるヒトがいるという話を聞いたことがあるのですが...

    あ、捕まっちゃいましたか。
  • なことより (スコア:2, 興味深い)

    by Anonymous Coward on 2004年08月07日 9時36分 (#602492)
    ファーストサーバってOfficeの事件の時のサーバー会社。
    脆弱性検査前に、自前のCGIをちゃんとして、自社のセキュリティ意識を底上げして欲しかったりする。
    • 利用者を馬鹿にしている
      利用者に責任転換している

      ようにみえるな。

      気のせいかな?

      まるで、おまえらのCGIのせいでこうなったんだ、ツールでもめぐんでやるといいたげような。

      利用者とファーストとの間のセキュリティ観念に温度差があるようにもみえるな。
      もちろん、ファースト側が低いと思われるケースが大きいかと。
      • by nim (10479) on 2004年08月09日 19時31分 (#603170)
        「責任転嫁」ですね。

        ツールを入れれば自分でも簡単にできることですが、仕事でサーバをたてるなら、やってもらおうと思いますね、正直。
        簡単にできるといっても、それなりの時間はかかるわけですし。
        広く使用されているソフトウェア(OpenSSL や Apache など)の脆弱性にもすぐに対応してくれて、発生のたびにチェックをかけてくれるなら年契約のサービスとして展開してもいけるとおもいます。
        親コメント
  • by Anonymous Coward on 2004年08月07日 15時09分 (#602586)
    「必要だが十分ではない」の間違いでは?

    不当表示にならんのかしらん。

  • by bikeman (14466) on 2004年08月07日 10時41分 (#602506)
    セキュリティにコストをかけられない=管理費がもともとない、ということで、こういうサービスがあってもあまり意味がないと思われ。
    • by saitoh (10803) on 2004年08月07日 11時17分 (#602515)
      管理費増額要求の根拠を作るための必要経費が1980円だと思えば、 管理費がもともとなくても楽に捻出できる価格ですね。
      親コメント
  • もしも (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年08月07日 12時58分 (#602535)
    ファーストサーバーに固有の脆弱性が見つかったとしたら、マークのついているサイトを芋づる式に乗っ取ることが可能ではないですか?

    ウチのサーバーもファーストサーバーだけど、それをヒタ隠しにして狙われないようにしてたもの。
    (もちろん、ファーストサーバー製のCGIなんか元から使ってなかったけれど)
  • by Anonymous Coward on 2004年08月07日 15時22分 (#602591)
    このサービスは一回1980円ということだから、普通は、継続して診断してくれるわけじゃなくて、一回だけ実施するという形で使われるんですよね?

    ある日に一回だけ診断して、それでマークが付けられるって、有効期限とかどうするんでしょう?

    いくらマークがあったって、診断したのが1年前じゃ、全然安全の証にならないですよね。

    診断日が何年何月何日という表示をマークに必ず添えるのなら理解できますが。

    でもそんなことしたら、ずっと診断されてないということを自ら表示するようなもんですから、そういうことはやらないでしょうね。

    結局、このマークは消費者を騙すことにしかならないと思うのですが。
  • by Anonymous Coward on 2004年08月07日 18時47分 (#602640)
    こういう診断系の商売は診断自体で利益を上げることは考えて無い場合が多い、
    脆弱性に対応できる製品やサービスなどを売りつけるためのきっかけとして考えている場合が殆んど。

    1980円という価格は角度の高い顧客をゲットするための布石に過ぎないんじゃないでしょうか?

    某カツラ屋さんや化粧品屋さんと似たような商法がセキュリティの業界にも入って来たように感じます。

    うちの会社も数万円で似たようなことやってますよ。
    • by Anonymous Coward on 2004年08月07日 19時13分 (#602645)
      違うと思う。

      こんなサービスを受けてマークを貼って満足するような人たちは、次の顧客にはならんでしょ。

      この企画はようするに「当社はセキュリティ意識の高い会社です」というアピールが目的と見るのが順当では。
      親コメント
  • by Anonymous Coward on 2004年08月07日 9時50分 (#602494)
    管理者が単独でこのサービスを利用して調査以来をした後
    なにも知らない別の管理者が
    「なんじゃこりゃ!!サーバーにアタックをしようとしている組織がいる!!」って事にならんのでしょうか?
  • by Anonymous Coward on 2004年08月07日 14時17分 (#602565)
    1.会社に内緒で個人のポケットマネーで会社のサイトの脆弱性調査を御願いする。
    2.結論を見てクラッキングしにいく。

    などという、クラッカーの時間節約になる価格ですね。
    安いっていいことですね。

    # もちろん、良い子はこういうことはしてはいけません。ええ。
    • by Anonymous Coward
      意味不明だな。

      会社のサーバというが、管理者でなければこのサービスは申し込めないようになっているだろう。そして、管理者だったら、脆弱性を突いて入るまでもないわけで。
  • by stosh (4158) on 2004年08月07日 14時42分 (#602578) 日記
    何をどう読み違えたか、タイトルを
    『彼女の脆弱性診断でセキュリティ意識の底上げ』
    と読み違えてしまいました。

    彼女がセキュリティチェックをしてくれるんならいいけど、
    彼女の脆弱性を診断してくれるサービスだったらいやだ。

    「アルコールによって格段に落としやすくなることが
    侵入検査の結果判りました。報酬はあなたの彼女だけで
    充分です。」
    とか。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...