パスワードを忘れた? アカウント作成
15599187 story
アナウンス

情報処理推進機構、中小企業ECサイトの脆弱性診断を無償で実施 29

ストーリー by nagazou
無償 部門より
サイバー攻撃によるECサイトでの個人情報の流出などの被害報告が増加している。情報処理推進機構(IPA)はこうした状況を改善するため、中小企業向けに専門家によるECサイトの脆弱性診断を無償で実施すると発表した。この事業は経済産業省から補助を受けて行われるものであるという。リリースによれば、この診断は通常、100万円以上の費用がかかる内容だとしている(情報処理推進機構)。

診断を受けられるECサイトの条件としては、資本金5000万円以下、あるいは常時使用する従業員数が50人以下という国が定める中小企業の規定に収まる企業であること、オープンソースソフトウェア(OSS)やパッケージなどを用いて開発したECサイトであること、オンプレミスまたはAWS等のクラウド環境にて構築されていること、モートからの脆弱性診断が実施可能であることなどとなっている。なお一定数の募集が集まった時点で受付終了になるとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • リモートからのアクセス可能などにしたら
    それが脆弱性のもとになるのでは
    • by Anonymous Coward

      わざわざリモートからのアクセスを可能にしたりはしないよ
      すでにリモートアクセス可能な部分を診断するわけだから
      公開されてるWebサーバとか開いてるSSHポートとか

      • by Anonymous Coward

        わざわざリモートからのアクセスを可能にしたりはしないよ

        そうとも限らない。同じようなテスト環境用意して診断することもあるよ。
        脆弱性診断による負荷を嫌ったり診断に使われるゴミデータの混入を嫌ったり
        万が一のサービスダウンを不安視したり。

        リモートからのアクセス可能などにしたら
        それが脆弱性のもとになるのでは

        普通は接続元IPと実施時間で制限をかける。

    • by Anonymous Coward

      リモートからのアクセスじゃなくて、「モート」からのアクセスだから心配いらないよ。

  • by Suzuno (48093) on 2022年03月17日 15時22分 (#4217335) 日記

    「無料だから」で脆弱性検査するような会社って、「脆弱性が見つかりました」になったとして、修正費用を出せるの?

    • by ukenerai (36532) on 2022年03月17日 17時26分 (#4217445) 日記

      とりあえず脆弱性が見つかったサーバーを止めてから考えて欲しい。
      サービスを辞めるなり、修正費用を捻出するなり。

      --
      -- う~ん、バッドノウハウ?
      親コメント
      • by Anonymous Coward

        中小企業経営者「修正費用なんか出せないよ、それで売り上げ変わるわけじゃないんだから。ねぇ検査したならついでに直しといてよ、簡単でしょ?」

        #現実はだいたいこんな感じ

        • by Anonymous Coward

          売り上げは増えないが減るし経費も増える。下手すると営業できなくなる。今までの取引も打ち切られる。
          各種事例をひもといて懇切丁寧に教えてもらえるでしょう。

          • by Anonymous Coward

            つまり最初から実施しなければよかったんだーというやつですね

    • by Anonymous Coward

      出せるかもしれないし、出せないかもしれない
      脆弱性が見つかった後に考えればいいと思うよ
      大事なのは診断を受けようという意志だから
      最悪システムを止めるくらいはできるだろう

  • by Anonymous Coward on 2022年03月17日 15時18分 (#4217332)

    まさかIPA自身が診断するわけじゃないよね?

    • 一昨年くらいから希望する情報処理安全確保士向けに中小企業向けの情報セキュリティ診断事業というのを試験的に斡旋しています。
      おそらくこれも希望者を募って担当してもらうのだと思います。
      情報処理安全確保支援士は資格維持費が高いので資格放棄する支援士をつなぎとめたいのでしょう。

      親コメント
      • by Anonymous Coward

        資格放棄する奴なんているのですかね?
        費用が高いと思う人はそもそも登録しないだろうし。
        あれは事業者が払うものだと思う。個人趣味で登録するようなものじゃないし。

        • by Anonymous Coward

          半年ほど前から話題になっていたのですが、一週間前に記事になったばかりでして。

          登録者数が初の前年割れ、「情報処理安全確保支援士」の人気獲得に秘策はあるか | 日経クロステック(xTECH)
          https://xtech.nikkei.com/atcl/nxt/column/18/00138/030100992/ [nikkei.com]

          まあ基本的に事業者が費用を払う想定だとは思いますけど、そういう人(職場)ばかりじゃないですからね。

        • 個人趣味で登録してて2年目ですが、3年目の実践講習8万+オンライン講習2万の価値があるのか疑問なので放棄するつもりです
          無くても社内の業務としてやる分には、セキュスペ試験合格だけ(無登録あるいは登録抹消)でも別に問題ないですし

  • by Anonymous Coward on 2022年03月17日 15時41分 (#4217348)

    屋根がはがれてて修理が必要ですよ。ほら、アソコと。
    見てもそんな雰囲気はない。
    後でネットで調べたらよくある手口らしいですね。
     
    シロアリも「無料診断」ありますよね...

  • by Anonymous Coward on 2022年03月17日 16時14分 (#4217383)

    会社のアンチウィルスソフト、カスペルスキー社からエンジンのOEM提供受けてるAssetView Vplusなんだが、大丈夫なんだろうか。

    • by Anonymous Coward

      「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」と
      ドイツのサイバーセキュリティ機関が警告

    • by Anonymous Coward
      どんなアンチウィルス入れててもWebアプリに対する攻撃は防げないよ
  • by Anonymous Coward on 2022年03月17日 16時49分 (#4217420)

    トロイを仕込むのですね?

  • 自動診断ソフトウェアによる診断だけなら、安価に手掛けてる業者はそれなりにある
    そういったオンライン自動診断業者レベルのことなのか、それともそれ以上の診断もするのか、
    どっちなんでしょう?

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...