お問い合わせ

よくあるご質問

脆弱性診断
(セキュリティ診断)全般

  • 外部からアクセスできない環境に対して診断をして欲しいのですが、可能でしょうか?

    サイバーセキュリティクラウドの脆弱性診断サービスでは、インターネット経由でアクセスできないシステムの場合、以下の方法で診断することが可能です。

    診断可能な場所に当社コンサルタントが赴き、そこから診断を実施します。(別途オンサイト費用が発生します)
    または、当社が指定するIPアドレスからシステムにアクセスできるように、お客様のファイアウォール等の設定を変更していただき、当社よりインターネット経由で診断を実施します。(追加費用は必要ありません)

    関連リンク
    診断サービス共通オプション価格(オンサイト料金)

  • 診断を行っている間は、どの程度のシステム負荷がかかりますか?

    サイバーセキュリティクラウドの脆弱性診断サービスでは、診断用ツールを用いた擬似的な攻撃を行いますが、この際に診断対象へのアクセス頻度が一時的に増えるため、システム負荷が上がる可能性があります。
    なお、診断対象へのアクセスを同時に行わないように診断ツールをチューニングすることで、診断対象のシステム負荷を最小限に抑えて診断を行うことができます。

    具体的なアクセス頻度については、診断対象システムの応答速度にもよりますが、平均的には毎秒2~3回(人間による手動アクセスより少し早い程度)に抑えることができますので、このような頻度でアクセスが発生した場合のシステムへの影響については、事前にご確認いただけますようお願いいたします。

    関連リンク
    脆弱性診断サービスの特徴

  • 手動診断とツール診断の違いは何ですか?

    手動診断は、セキュリティ専門家が仕様・業務フロー・権限設計を踏まえてシナリオを構築し、認可不備や状態遷移の破綻、ビジネスロジックの悪用など論理的かつ複合的な脆弱性を深掘りします。
    ツール診断は、診断ツールにより既知の脆弱性パターンを広く高速に検出でき、網羅性・再現性に優れています。

    関連リンク
    手動脆弱性診断の特徴とは?
    脆弱性診断ツールとは?

  • 脆弱性診断とペネトレーションテストの違いは何ですか?どちらを選ぶべきですか?

    脆弱性診断は、システム全体を対象に既知の脆弱性や設計上の不備を体系的に洗い出し、リスクを可視化することを目的としています。攻撃を模擬しつつも、再現性と安全性を重視した検証を行い、報告書では発見箇所・影響度・推奨対策を整理します。

    一方、ペネトレーションテスト(侵入テスト)は、特定の攻撃シナリオを想定し、どこまで実際に侵入・権限昇格・情報取得が可能かを検証する手法であり、より実戦的かつリスク許容度の高いテストです。目的や範囲を明確に定義した上で、限定的な環境で実施されます。

    なお、当社ではペネトレーションテストの提供は行っておりません。まずは脆弱性診断により現状の課題を把握し、その結果を踏まえた上で、次のステップとしてペネトレーションテストの実施をご検討いただくことを推奨いたします。

    関連リンク
    脆弱性診断とペネトレーションテストの違いとは?

  • 診断は安全でしょうか?トラブルが発生する恐れはありませんか?

    脆弱性診断では、悪意ある攻撃者による行為を模擬する形で診断を行います。つまりシステム側から見ると、脆弱性診断は悪意ある攻撃と本質的には変わりありません。
    そのため、診断作業に伴うリスクを完全に無くすことは不可能と言えます。特にWebアプリケーション診断は、サイトごとに独自のプログラム開発が必要になりますので、その実装方法によっては、通常であれば問題にならない擬似攻撃であっても、重大な障害に繋がる可能性を完全には否定できません。

    サイバーセキュリティクラウドの脆弱性診断サービスでは、このようなトラブルを未然に防ぐため、診断前のリスクシミュレーションを徹底して実施しています。事前のアクセス確認を通じて診断時のリスクを徹底的に洗い出し、想定されるトラブルを回避するための検討をお客様のシステムごとに実施することで、安心していただけるように努めております。

    関連リンク
    (FAQ)トラブルが発生した場合、どのように対処するのですか?

  • トラブルが発生した場合、どのように対処するのですか?

    万が一、脆弱性診断時にトラブルが発生した場合は、すぐに診断を中止し診断時のログ等からトラブルの原因調査を行い、被害を最小限に抑えるようにいたします。また、調査結果として、トラブル内容および対策方法についてご報告いたします。

    また、発生したトラブルのシステムへの影響を最小限に抑えるためのサポート体制を事前に用意し、トラブル発生時には迅速に対応いたします。

    関連リンク
    (FAQ)診断は安全でしょうか?トラブルが発生する恐れはありませんか?

  • 診断報告書の内容に関して質問がある場合、サポートしてくれますか?

    診断結果報告書の内容について不明な点がある場合は、報告書提出後1ヶ月以内であれば電話および電子メールにてサポートいたします。

    また、内容をより詳しく理解したい場合には、オプションで報告会を実施することも可能です。実際に脆弱性診断を担当したコンサルタントが、疑問や関連する内容に納得するまでお答えしますので、より理解度を深めることができます。

    関連リンク
    報告書・サポート
    診断サービス共通オプション価格(報告会)

  • 脆弱性診断を実行している間は、サービスを停める必要がありますか?

    脆弱性診断を受ける際に、診断対象のサービスを停止する必要はありません。

    サイバーセキュリティクラウドの脆弱性診断サービスでは、攻撃パターンを同時に送信しない等、診断対象のシステム負荷を可能な限り下げることで、運用中のサービスに影響を与えないようにしていますので、ご安心ください。

    関連リンク
    (FAQ)診断を行っている間は、どの程度のシステム負荷がかかりますか?

  • どのような脆弱性項目について診断するのですか?

    脆弱性診断では、診断対象のシステムに潜在する脆弱性について、様々な方向から診断を行います。

    Webアプリケーション脆弱性診断サービスでは、SQLインジェクションやクロスサイトスクリプティングなど、データ改ざんや個人情報漏えいの危険性がある代表的な脆弱性はもちろん、他のユーザへのなりすましが可能な脆弱性についても診断を行います。

    また、サーバについてはサーバ上で任意のプログラムを実行したり、管理者権限を不正に取得することでサーバを乗っ取ることができる脆弱性や、サーバの負荷を上げることでサービス妨害を行うことが可能な脆弱性が存在しないかについて診断を行います。

    関連リンク
    Webアプリケーション脆弱性診断サービス 診断項目一覧
    プラットフォーム脆弱性診断サービス 診断項目一覧
    API脆弱性診断サービス 診断項目一覧

  • 脆弱性診断はどのくらい時間がかかりますか?

    Webアプリケーション脆弱性診断サービスは、1日あたり15〜20ページ程度の診断が可能です。プラットフォーム診断は、1日あたり最大5台まで診断が可能です。
    ただし、お客様のシステム環境によって多少増減することがありますので、あくまで目安としてお考えください。

  • 納期(診断~報告書提出)までのスケジュール感を教えてください。

    対象範囲(ページ数やAPI数)、環境(本番/検証)などにより前後します。
    一般的には、診断は数日単位で進行し、その後、必要に応じて速報→本報告の順でご提出します。
    標準的なボリュームであれば、診断開始から比較的短期間でご報告できるケースが多いですが、おおよそのスケジュールは事前ヒアリングで、詳細な日程はお見積り時に個別でご提示いたします。

    関連リンク
    お見積りご依頼フォーム
    報告書・サポート

  • アフターサポートの内容を教えてください。

    診断によって発見された脆弱性の改修方法についてのご相談や、改修後の修正確認診断 ※について無償で対応いたします。

    サイバーセキュリティクラウドでは、脆弱性診断だけでなくシステム開発技術まで長けたセキュリティコンサルタントが、お客様環境を考慮した最適な改修方法をご提案致します。また、改修作業時の疑問にもアドバイスいたします。
    ※ Webアプリケーション特急診断を除く

    関連リンク
    報告書・サポート

  • 診断報告書は、診断後どのくらいの期間で提出されますか?

    Webアプリケーション標準診断サービス、プラットフォーム脆弱性診断サービス、API脆弱性診断サービスは、診断結果報告書(速報)を診断実施後3営業日以内、診断結果報告書を診断実施後10営業日以内に提出いたします。

    Webアプリケーション特急診断サービスでは、診断実施後3営業日以内に特急診断報告書を提出いたします。

    関連リンク
    報告書・サポート

  • 再診断(修正確認診断)の費用はかかりますか?

    報告書提出後の再診断は、1ヶ月以内であれば1回無料で対応します。(Webアプリケーション特急診断、プラットフォーム脆弱性診断を除く)。
    ただし、初回の診断範囲を超える内容(対象追加、仕様変更、別環境・別バージョンでの確認など)が発生する場合は、別途お見積りとなります。

    関連リンク
    報告書・サポート

  • 秘密保持契約書は締結できますか?

    はい、もちろん可能です。秘密保持契約書をご用意しております。詳しくはお問い合わせください

  • 脆弱性診断の実績はどの程度ありますか?

    1998年よりサービスを開始し、これまで約2,000システムの診断実績があります。Webアプリケーション脆弱性診断サービスの診断対象では、ECサイトが最も多く約70%を占めています。

お見積・注文方法・お支払

  • 見積りが欲しいのですが、どんな情報を提示すれば見積りできますか?

    見積依頼フォームより、設問に沿って情報を入力ください。
    もし、診断対象が確定していない場合は、その旨をお知らせください。無償にて診断対象の特定のサポートをいたします。

    関連リンク
    お見積り依頼フォーム

  • 各診断サービスの概算費用を教えてください。

    詳細は、価格ページをご確認いただくか、お見積り依頼フォームよりご連絡ください。

    関連リンク
    脆弱性診断サービス 価格
    お見積り依頼フォーム

  • 脆弱性診断にかけられる予算が決まっています。予算に応じた相談はできますか?

    はい、可能です。ほとんどのお客様が脆弱性診断のご予算を設定されています。

    サイバーセキュリティクラウドでは、お客様の脆弱性診断の目的をお伺いしたうえで、ご要望に応じた診断対象の選定支援やアドバイス、全体スケジュールの調整など、ご予算に合わせた最適な診断方法をご提案いたします。

    関連リンク
    お見積り依頼フォーム

Webアプリケーション
脆弱性診断

  • 診断対象はどう選んだら良いですか?

    お客様がページ遷移図をお持ちの場合は、サイバーセキュリティクラウドが診断対象の選定をし提案いたします。

    また、ページ遷移図がない場合は、実際にアクセスを行い全ページをリストアップして診断対象候補のリストを作成します。あわせて診断対象ページの選定の提案いたします。

  • 診断は検証環境やテスト環境が必要ですか?

    必須ではありませんが、できる限り検証環境(テスト環境、ステージング環境)をご用意いただき、その環境で診断を実施することを推奨しています。
    主な理由は以下の3点です。

    • Webアプリケーションの診断では、システム環境によって左右されず得られる診断結果が同じであること。
    • 本番環境とは切り離されているため、本番では控えた方が良いと判断した診断作業も安全に診断が行うことができ、より正確な診断が可能であること。
    • 診断作業によって一時的なシステム停止が発生した場合でも、本番環境へ影響を与えないこと

    可能であれば検証環境をご用意いただき、本番環境と同一のWebアプリケーションをご準備いただくことをおすすめします。

  • 本番環境で診断を実施してほしいのですが、注意すべきことをで教えてください。

    サイバーセキュリティクラウドでは、診断前にお客様環境のヒアリングとアクセス確認を行います。お客様環境の特性を確認し診断対象や診断内容をまとめた「診断実施計画書」を作成・提出いたします。この「診断実施計画書」の内容について確認をお願いしております。

    関連リンク
    報告書・サポート
    診断実施計画書・診断報告書のポイント解説

  • Webアプリケーションの決済システムの診断は可能ですか?

    はい、以下の 1. もしくは 2. の条件を満たしていれば可能です。

    1. 決済システムの診断が可能な検証環境があること
    本物のクレジットカード番号を使用しても決済処理が発生しないように構築された検証環境をご用意ください。もしくは検証環境下で決済処理が発生しない検証環境用のクレジットカード番号をご用意ください。
    いずれかをご用意いただければ、決済処理の部分のみ検証環境で脆弱性診断を実施いたします。

    2. 本番環境上でも決済処理が発生しないテスト用クレジットカード番号の用意があること
    サイバーセキュリティクラウドでは、検証環境(テスト環境、ステージング環境)で脆弱性診断を行うことを推奨していますが、本番環境下で決済処理が発生しないテスト用のクレジットカード番号をご用意いただければ、決済システムに対する脆弱性診断を実施いたします。

    1. または 2. をご用意いただくことが難しい場合は、決済処理の直前までの脆弱性診断となります。

  • Webアプリケーション脆弱性診断の価格は何で決まりますか?

    診断費用は、診断対象となる「動的ページの数」によって決まります。

    動的ページとは、表示・送信・確認・検索など、何らかのイベントによって表示される「動的なコンテンツを含むページ」を指します。Webアプリケーションの脆弱性は、検索ボタンなどののイベントを実行した際に送信されるリクエスト内のパラメータ情報を改ざんすることで悪用されることが多いため、これらのリクエストによって表示されるページ数を数えることで「動的ページの数」を算出します。

    お手元にページ遷移図がある場合は、診断対象の選定が比較的容易にできます。お手元にページ遷移図が無い場合には、別途ご相談いただければ、選定のサポートをいたします。

    関連リンク
    脆弱性診断の見積もりの考え方とは?

  • 診断対象ページの数え方を教えてください。

    診断対象となるのは動的ページ(ダイナミックページ)です。

    動的ページの特定方法は、例えば、問い合わせページにある「送信」ボタンをクリックすると、入力したメールアドレスなどに応じて表示内容が変わるページの場合が表示される場合、そのページを「動的な1ページ」としてカウントします。
    同様に、「中止」ボタンをクリックした際に表示されるページも「動的な1ページ」としてカウントします。
    このため、上記の例では合計2ページが動的ページとしてカウントされます。

    なお、問い合わせページそのものは入力フォームが表示されるだけの静的ページであるため、診断対象には含まれません。

    診断対象ページの数え方
    関連リンク
    脆弱性診断の見積もりの考え方とは?

  • まだ開発途中ですが、診断はできますか?

    開発途中でアクセスができない場合には、診断はできません。
    開発が終了して実際にアクセスできるページの場合は、診断が可能です。

  • Webシステムがインターネットに接続されていませんが診断できますか?

    はい、可能です。
    外部公開されていない場合でも、診断はオンサイトまたはリモートのいずれかの方法で実施できます。
    開発環境など Web システムへアクセス可能な場所に当社の診断コンサルタントが伺い、現地で診断を行う方法と、診断日までに当社からアクセスできるようネットワーク設定を実施いただき、当社環境からリモートで診断を行う方法があります。前者の場合はオンサイト費用が別途発生しますが、後者の場合は追加費用はかかりません。

    関連リンク
    診断サービス共通オプション価格(オンサイト作業)

  • ログインが必要なアプリケーションや、SSO(シングルサインオン)環境でも診断は可能ですか?

    はい、可能です。
    ID/パスワードによるログインが必要なアプリケーションはもちろん、SSO(SAML/OAuth 等)によって認証される環境にも対応しています。
    事前にログイン情報やテスト用アカウントをご提供いただき、セッション管理や認可制御を考慮したうえで、安全に診断を実施します。

  • WAF(Web Application Firewall)を導入している環境でも診断は可能ですか?検知回避の設定は必要ですか?

    WAF導入している環境でも診断は可能です。
    ただし、WAFが有効な状態では擬似攻撃が遮断され、正確な診断結果を得られない場合があります。そのため、診断元IPアドレスを一時的に除外(ホワイトリスト登録)していただくなど、検知回避の設定を行うか、WAFを稼働させる前の状態で診断を進めることを推奨しています。

  • リモートでの診断とオンサイトでの作業では診断結果に差がありますか?

    リモートでもオンサイトでも、診断を実施する場所が異なるだけなので診断結果に差はありません。

  • ページ遷移図が無いのですが、診断は可能ですか?

    はい、可能です。
    ページ遷移図がある場合は、診断対象の選定に関するアドバイスの支援が可能です。ページ遷移図がない場合は、実際のURLから全ページをリストアップし、診断対象候補のリストを作成する必要があります。(この作業についてはご対応ができない場合があります)。詳しくはお問い合わせください

    なお、診断対象を選定する際に必要となる判断基準については、サイトの特性に応じてご提案いたします。

  • 脆弱性診断で指摘された場合、具体的にどのような修正作業が発生しますか?

    診断で検出される脆弱性は、システム全体の改修を要するものではなく、入力値の検証や認証まわりの設定変更など、限定的な修正で対応可能なケースが多いです。
    たとえば、クロスサイトスクリプティング(XSS)が検出された場合には入力値のエスケープ処理の追加する、認可まわりに不備がある場合にはアクセス制御ロジックを修正する、といった対応が該当します。

    改修後には、修正内容が適切に反映されているかを確認するための修正確認診断(再診断)を無償で実施いたします(Webアプリケーション特急診断を除く)。

サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください