情報処理推進機構、中小企業ECサイトの脆弱性診断を無償で実施 29
ストーリー by nagazou
無償 部門より
無償 部門より
サイバー攻撃によるECサイトでの個人情報の流出などの被害報告が増加している。情報処理推進機構(IPA)はこうした状況を改善するため、中小企業向けに専門家によるECサイトの脆弱性診断を無償で実施すると発表した。この事業は経済産業省から補助を受けて行われるものであるという。リリースによれば、この診断は通常、100万円以上の費用がかかる内容だとしている(情報処理推進機構)。
診断を受けられるECサイトの条件としては、資本金5000万円以下、あるいは常時使用する従業員数が50人以下という国が定める中小企業の規定に収まる企業であること、オープンソースソフトウェア(OSS)やパッケージなどを用いて開発したECサイトであること、オンプレミスまたはAWS等のクラウド環境にて構築されていること、モートからの脆弱性診断が実施可能であることなどとなっている。なお一定数の募集が集まった時点で受付終了になるとしている。
診断を受けられるECサイトの条件としては、資本金5000万円以下、あるいは常時使用する従業員数が50人以下という国が定める中小企業の規定に収まる企業であること、オープンソースソフトウェア(OSS)やパッケージなどを用いて開発したECサイトであること、オンプレミスまたはAWS等のクラウド環境にて構築されていること、モートからの脆弱性診断が実施可能であることなどとなっている。なお一定数の募集が集まった時点で受付終了になるとしている。
リモートからの脆弱性診断が実施可能 (スコア:2)
それが脆弱性のもとになるのでは
Re: (スコア:0)
わざわざリモートからのアクセスを可能にしたりはしないよ
すでにリモートアクセス可能な部分を診断するわけだから
公開されてるWebサーバとか開いてるSSHポートとか
Re: (スコア:0)
わざわざリモートからのアクセスを可能にしたりはしないよ
そうとも限らない。同じようなテスト環境用意して診断することもあるよ。
脆弱性診断による負荷を嫌ったり診断に使われるゴミデータの混入を嫌ったり
万が一のサービスダウンを不安視したり。
リモートからのアクセス可能などにしたら
それが脆弱性のもとになるのでは
普通は接続元IPと実施時間で制限をかける。
Re: (スコア:0)
リモートからのアクセスじゃなくて、「モート」からのアクセスだから心配いらないよ。
根本的な問題 (スコア:1)
「無料だから」で脆弱性検査するような会社って、「脆弱性が見つかりました」になったとして、修正費用を出せるの?
Re:根本的な問題 (スコア:1)
とりあえず脆弱性が見つかったサーバーを止めてから考えて欲しい。
サービスを辞めるなり、修正費用を捻出するなり。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
中小企業経営者「修正費用なんか出せないよ、それで売り上げ変わるわけじゃないんだから。ねぇ検査したならついでに直しといてよ、簡単でしょ?」
#現実はだいたいこんな感じ
Re: (スコア:0)
売り上げは増えないが減るし経費も増える。下手すると営業できなくなる。今までの取引も打ち切られる。
各種事例をひもといて懇切丁寧に教えてもらえるでしょう。
Re: (スコア:0)
つまり最初から実施しなければよかったんだーというやつですね
Re: (スコア:0)
出せるかもしれないし、出せないかもしれない
脆弱性が見つかった後に考えればいいと思うよ
大事なのは診断を受けようという意志だから
最悪システムを止めるくらいはできるだろう
どこに委託するんだろ (スコア:0)
まさかIPA自身が診断するわけじゃないよね?
Re:どこに委託するんだろ (スコア:2)
一昨年くらいから希望する情報処理安全確保士向けに中小企業向けの情報セキュリティ診断事業というのを試験的に斡旋しています。
おそらくこれも希望者を募って担当してもらうのだと思います。
情報処理安全確保支援士は資格維持費が高いので資格放棄する支援士をつなぎとめたいのでしょう。
Re: (スコア:0)
資格放棄する奴なんているのですかね?
費用が高いと思う人はそもそも登録しないだろうし。
あれは事業者が払うものだと思う。個人趣味で登録するようなものじゃないし。
Re: (スコア:0)
半年ほど前から話題になっていたのですが、一週間前に記事になったばかりでして。
登録者数が初の前年割れ、「情報処理安全確保支援士」の人気獲得に秘策はあるか | 日経クロステック(xTECH)
https://xtech.nikkei.com/atcl/nxt/column/18/00138/030100992/ [nikkei.com]
まあ基本的に事業者が費用を払う想定だとは思いますけど、そういう人(職場)ばかりじゃないですからね。
講習高すぎのくせに独占事業にもならないゴミ資格 (スコア:0)
個人趣味で登録してて2年目ですが、3年目の実践講習8万+オンライン講習2万の価値があるのか疑問なので放棄するつもりです
無くても社内の業務としてやる分には、セキュスペ試験合格だけ(無登録あるいは登録抹消)でも別に問題ないですし
戸建ての家だとしばしば「業者」が来るんだけど (スコア:0)
屋根がはがれてて修理が必要ですよ。ほら、アソコと。
見てもそんな雰囲気はない。
後でネットで調べたらよくある手口らしいですね。
シロアリも「無料診断」ありますよね...
Re: (スコア:0)
だからIPAがやるんでしょ。
民間企業がやったら胡散臭すぎる。
Re: (スコア:0)
IPAの方から来ました
Re:戸建ての家だとしばしば「業者」が来るんだけど (スコア:1)
IPA呑みながら来ました
Re: (スコア:0)
イソプロピルアルコールは毒だから飲まないほうが良いですよ?
Re: (スコア:0)
インディア・ペールエールですから!
Re: (スコア:0)
イソプロピルアンチピリン(解熱鎮痛薬)かもしれない。
カスペルスキーは大丈夫? (スコア:0)
会社のアンチウィルスソフト、カスペルスキー社からエンジンのOEM提供受けてるAssetView Vplusなんだが、大丈夫なんだろうか。
Re: (スコア:0)
「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」と
ドイツのサイバーセキュリティ機関が警告
Re: (スコア:0)
調査しながら100万円以上のリターンを得るための (スコア:0)
トロイを仕込むのですね?
自動診断なら安くやってくれるところがあるでしょ? (スコア:0)
自動診断ソフトウェアによる診断だけなら、安価に手掛けてる業者はそれなりにある
そういったオンライン自動診断業者レベルのことなのか、それともそれ以上の診断もするのか、
どっちなんでしょう?
Re:自動診断なら安くやってくれるところがあるでしょ? (スコア:1)
> この診断は通常、100万円以上の費用がかかる内容
ということなので、OWASP ZAP でスキャンしつつちょこっと手動って感じじゃないでしょうか。