小規模ウェブサイトの約1割はノーガード戦法 27
ストーリー by nagazou
金にならないから 部門より
金にならないから 部門より
情報処理推進機構(IPA)は30日、8年ぶりに「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。この改訂はIPAが実施した従業員50人以下の小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえたものだという(小規模ウェブサイト運営者の脆弱性対策に関する調査報告書[PDF]、Security NEXT)。
こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8%。「運用時にのみ脆弱性対策している」とした回答は22.9%であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6%ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」(51.8%)、「クレジットカード等の決済を行っていないから」(38.6%)、「サイトが著名でないので、被害に遭うとは考えにくいから」(27.7%)とする回答が上位を占めたとしている。
こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8%。「運用時にのみ脆弱性対策している」とした回答は22.9%であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6%ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」(51.8%)、「クレジットカード等の決済を行っていないから」(38.6%)、「サイトが著名でないので、被害に遭うとは考えにくいから」(27.7%)とする回答が上位を占めたとしている。
ストーリーのタイトルに「ノーガード戦法」の言葉が使用されたのはこれが初めて (スコア:2, 参考になる)
だけど2004年からスラドを中心に使われ始めたネットスラングだということを知らない人も多そう
サイバー・ノーガード戦法 - Wikipedia
https://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%... [wikipedia.org]
Re: (スコア:0)
リンク先のページにも書いてあるとおり、ノーガード戦法は少なくともあしたのジョー
(本文にあるのか読者が言ったのかはしらない)まで遡るので、「サイバー」をつけた
程度で「スラドを中心に使われ始めた」と言っちゃうのはどうかと。
どこぞの国の起源主張と同レベル。
Re: (スコア:0)
「中心に使われ始めた」を「起源主張」と変換するあなたの脳みそがイカれてるだけでは?
Re: (スコア:0)
関連項目に
・スラッシュドット [wikipedia.org](日本コミュニティでしばしばお粗末なセキュリティ体制を揶揄する意図で同語が引用される)
とあるのが味わい深いな。
でもそれはあくまでコメント欄であって、記事タイトルでの言及はこれまで無かったったのか。
ノーガードで十分な小規模サイトは多い (スコア:1)
ログイン機能などの動的コンテンツがない。
DBなど利用していない(閲覧者の入力データを使ったDB操作がない)。
静的htmlファイルのみで構成されてる。
(共有)レンタルサーバーで公開している(システムの脆弱性対応はレンタルサーバー会社がやってくれる)。
こんな小規模サイトであればまずノーガードで問題ないし、たいていがそんなでしょ。企業情報を載せる程度にしか使ってない。
CMS使ってたり自社でサーバー運用してたら一気に危険度上がるけど。
#ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 https://www.ipa.go.jp/files/000070296.xlsx [ipa.go.jp] ←こういうのやめて。せめてpdfまでにしてよ
Re: (スコア:0)
> (共有)レンタルサーバーで公開している(システムの脆弱性対応はレンタルサーバー会社がやってくれる)。
この時点で「ノーガード」ではないですね。
動的コンテンツなしでDBなしで共有レンタルサーバーの場合はそもそもすべき「対策」がないかと。
javascriptでURL中の文字列やdocument.cookieの文字列をdocument.writeしてXSS脆弱性、
みたいなページが入り込まないとは言い切れないけれども。
Re: (スコア:0)
レンタルサーバーかどうかはアンケートに盛り込んでほしかったな
Re: (スコア:0)
小規模サイトで共用レンタルサーバ以上を求めることはまずないので、大体がそうでしょうなあ。特に静的サイトだと設問への返答も困りますよね。
Re: (スコア:0)
全システムを光ROMドライブ上に置いても、メモリ内はクラッキングされて、足場になる可能性はあるからなぁ。
Re: (スコア:0)
これってOSやミドルウェア含めての話じゃないの?
静的コンテンツのみでも対応必要だと思うよ
※レンタルサーバは除く
レンタルサーバーの静的ページだって (スコア:0)
管理担当者が交代したらパスワードを変更するとか、なんらかの対策は必要だろ
Re: (スコア:0)
もちろん変更してますよ、四半期に一度、例の規則通りに
え?ほらいつものやつだよ、年に四半期つけてさあ
ニムダの記憶はもう (スコア:0)
遥か遠くに消えてしまったのだろうか
勝手に半中国webサイトを立ち上げてしまう
code red2なんてワームもはびこっていたような
ノーガードどころかオールpublicなGitHub Pagesですがなにか? (スコア:0)
存在しない機能に脆弱性は発生しない -- d.j.b.
Re: (スコア:0)
アカウントハックがあるんじゃない?
対応する必要すらないサイトが大半では (スコア:0)
問い合わせはメールか電話で、入力フォームなしなら。
ワードプレス使ったプラグイン更新してない会社のサイトは、いつかキーワードてんこ盛りのサイトに改竄される運命だし。
サイバーノーガードが通じるのは日本国内だけ (スコア:0)
例えば攻撃を中国から受けた場合は訴訟で対抗できない。
インターネット上の犯罪は国内案件しかどうにもならないという認識にアップデートせねばならない。
あと通販サイト系は改竄検知システム導入必須。クラックされてカード情報吸われて流出したという問題が何度も発生してる。
Re: (スコア:0)
ノーガード戦法は静的HTMLを返すだけなので攻撃対象が存在しないのが基本だと思ってた。
Re: (スコア:0)
そもそもWebサーバー自体に脆弱性があったりしてだな
Re: (スコア:0)
静的HTMLを返すことしかしないのに多機能なwebサーバにするからでしょ。
httpのgetリクエストしか受け付けない、パラメータとかも一切無視するwebサーバに対してできることは限られてる。
Re: (スコア:0)
ガードしても中国攻撃に訴訟できるんですかね?
前提が間違っているのでは? (スコア:0)
本来は
セキュリティメンテナンスを施して
損失を未然に防ぐことは
同等の収益を上げることに適う評価であることが
世界的に正しい評価となります
ですが
日本に於けるセキュリティに対する指針は
何も起こっていないのにコストは掛けられない
です
つまり
予算がつかないセキュリティメンテナンスを施して
アクセス停止やパフォーマンス降下を起こせば
マイナス評価となります
当然システムの二重化で対応なんて夢のまた夢
ノーガードを強いているのは
技術者ではなく
経営者である
ということを前提にしないと
なんの解決にもならない誹謗中傷でしかありません
権限は認めない、責任だけ取れ、
というのが
封建制の抜けない
よくデキた社会主義国の有り様であり
この体たらくということです
Re: (スコア:0)
封建制ってどういうものかご存じ?
https://ja.wikipedia.org/wiki/%E5%B0%81%E5%BB%BA%E5%88%B6 [wikipedia.org]
Re: (スコア:0)
端的に言って ☓「封建制」 ○「封建思想」 ということでしょう。
封建思想なら戦時下の染み(滅私奉公)が落ちていないということでしょう。
まあ、多少の用語の誤用は、誰しもあることですから、・・・ね。
Re: (スコア:0)
> まあ、多少の用語の誤用は、誰しもあることですから、・・・ね。
それは言い訳に過ぎない
Re: (スコア:0)
言ってることは、正しいけどさ、
経営資源も潤沢にあるわけじゃないよ。
そして、解決策が無く、苦難の道を歩むしか無いことがあるのが世の中ですよ。(ぴえん)
竹槍で機関銃と戦おうとしていたころと、大して進歩していないって思うところ。それもこれも、資源が無いことに尽きる。
あと、セキュリティ対策よりも「防犯対策」って言う方が、おじいちゃんには通じるよ。
Re: (スコア:0)
文章の内容以前に、句読点がなくて改行が無駄に多くて読みにくい。
一体どういう環境で入力してるのだろう。