SaaSに関するiso_27001のブックマーク (2)

  • ASPサービスの信用度をチェックする7つの質問 | 初代編集長ブログ―安田英久

    今日は、ASPやSaaSといった、外部のサービスを利用するときに、そのサービスがどれくらい信用できるかをチェックするために投げかけるといい質問の仕方を紹介します。 「おたく、セキュリティ大丈夫?」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも、何かあったら、被害を被るのは自社のお客さん。そして、「あれは他社のサービスが原因で」という言い訳は通じません。だから、事前に確認しておくのが大切、ということです。 以前にWeb担のサイトのセキュリティ診断を受けてみたという記事を書きましたが、その後、読者の方のサイトも診断していただいて、少しびっくりしたことがありました。というのも、そこがサイトの一部の機能に使っている他社のASPサービスに、セキュリティ上の問題が指摘されたのです。 「ほかの会社さんも使っている有料のサービスだから大丈夫だろうと思っていた」とは、Web担当者さんの言葉。

    ASPサービスの信用度をチェックする7つの質問 | 初代編集長ブログ―安田英久
    iso_27001
    iso_27001 2009/06/23
    外部のSaaS/ASPベンダーの信用度をチェックする質問:監視体制/脆弱性調査/稼動率/バックアップ//告知体制/共通除外項目/サービス保証違反時の補償について
  • SaaSに潜む脅威「JSONハイジャック」,IPSで情報漏えい対策を

    インターネット上のWebサイトでグループウエアやERP(統合基幹業務)といった業務アプリケーションを提供するサービスが注目を集めている。いわゆるSaaS(software as a service)だ。ユーザーは,インターネット回線さえあればいつでもアプリケーションを利用できる。 このようなサービスを利用する際,サービス提供者の情報漏えい対策が気になるIT管理者は少なくないだろう。ただ実際には,ユーザーは複数のサービス提供事業者のサービス,自社のシステムを組み合わせて利用するケースが多くなる。もちろん,取引先などのシステムとの連携も考えられる。こうした環境に備えるなら,提供者側のセキュリティ・レベルに注意するだけでなく,ユーザー側で可能な限り対策を施すことが重要になる。 そこで今回は,様々なWebアプリケーションを連携させる際に使われるJSON(JavaScript object nota

    SaaSに潜む脅威「JSONハイジャック」,IPSで情報漏えい対策を
    iso_27001
    iso_27001 2009/06/23
    JSONという技術を悪用する攻撃,「JSONハイジャック」は,このデータ交換の際に攻撃者がユーザーになりすまし,Webサイト上の機密情報を盗む攻撃である。うまく誘導されると,ユーザーは気付かないうちに情報を盗み取ら
  • 1