第4回:Webアプリを悪用された:被害発生! 業務を止めるなCIOセキュリティ・インシデント対策講座:ITpro
(無利21さん経由)
PGPでのIPAからのメールの検証の方法と実践から入って、リアリティありますねぇ。
山下:IPAは,公開鍵を公開するWebページをSSLで保護しています。SSLの証明書を確認すれば,確かに正しい公開鍵を手に入れたことを確認できるわけです。
セキュリティ・インシデント対応で考えなければならないのは,手元に届いた情報の真正性の検証手段。情報の出元は信頼できるのか,何かのわながかけられていないのかを見極める能力が問われる。特に公的機関を名乗るメールは,真偽の確認が必要だ。
保守にも入っていないでこの対応はかわいそうですねぇ。かわいそうに、、、下請けイジメだ・・・
山下:なるほど…。今回指摘されたぜい弱性はかなり初歩的な「プログラムミス」と言えると思います。もちろん要求仕様に不備があったという点ではウチにも責任はありますが,そんな基本的な問題点を残しておいたまま納品したということで○○社にも責任はあるのではないでしょうか。
小林:その点を主張して強く値引き交渉してみたらいいだろう。もし不調なら他社に切り替えを考えてもいい。
山下:了解しました。
○○社との交渉の末,結局,○○社が当初提示した金額よりかなり低い金額で修正を請け負うことで決着した。