よくあるご質問
脆弱性診断全般
-
外部からアクセスできない環境に対して診断をして欲しいのですが、可能でしょうか?
サイバーセキュリティクラウドの脆弱性診断サービスでは、インターネット経由でアクセスできないシステムの場合、以下の方法で診断することが可能です。
診断可能な場所に当社コンサルタントが赴き、そこから診断を実施します。(別途オンサイト費用が発生します)
または、当社が指定するIPアドレスからシステムにアクセスできるように、お客様のファイアウォール等の設定を変更していただき、当社よりインターネット経由で診断を実施します。(追加費用は必要ありません) -
診断を行っている間は、どの程度のシステム負荷がかかりますか?
サイバーセキュリティクラウドの脆弱性診断サービスでは、診断用ツールを用いた擬似的な攻撃を行いますが、この際に診断対象へのアクセス頻度が一時的に増えるため、システム負荷が上がる可能性があります。
なお、診断対象へのアクセスを同時に行わないように診断ツールをチューニングすることで、診断対象のシステム負荷を最小限に抑えて診断を行うことができます。具体的なアクセス頻度については、診断対象システムの応答速度にもよりますが、平均的には毎秒2~3回(人間による手動アクセスより少し早い程度)に抑えることができますので、このような頻度でアクセスが発生した場合のシステムへの影響については事前にご確認いただけますようお願いいたします。
-
診断は安全でしょうか?トラブルが発生する恐れはありませんか?
セキュリティ診断では、悪意を持った人間からの攻撃を模擬する形で診断を行います。つまりシステムにとってみれば、セキュリティ診断は悪意を持った攻撃と何ら変わりはありません。
そのため、診断作業によるリスクを完全に無くすことは不可能と言えます。特にWebアプリケーション診断については、サイトごとにオリジナルなプログラム開発が必要になりますので、その実装方法によっては他のサイトでは取るに足らない擬似攻撃が大きな障害に繋がる可能性も完全には否定できません。サイバーセキュリティクラウドのセキュリティ診断サービスでは、そのようなトラブルを未然に防ぐために、診断前のリスクシミュレーションを徹底して行っております。事前のアクセス確認による診断時のリスクの洗い出しを徹底的に行い、診断時に想定されるトラブルを回避するための検討をお客様のシステムごとに実施することで、安心していただけるようにしております。
-
トラブルが発生した場合、どのように対処するのですか?
万が一、セキュリティ診断時にトラブルが発生した場合は、すぐに診断を中止し診断時のログ等からトラブルの原因調査を行い、被害を最小限に抑えるようにいたします。また、調査結果として、トラブル内容および対策方法についてご報告いたします。
また、発生したトラブルのシステムへの影響を最小限に抑えるためのサポート体制を事前に用意し、トラブル発生時には迅速に対応いたします。
-
診断報告書の内容に関して質問がある場合、サポートしてくれますか?
診断結果報告書の内容について不明な点がある場合は、報告書提出後1ヶ月以内で電話および電子メールにてサポートいたします。
また、内容をより詳しく理解したい場合には、オプションで報告会を実施することも可能です。実際にセキュリティ診断を担当したコンサルタントが、疑問や関連する内容に納得するまでお答えしますので、より理解度を深めることができます。
-
セキュリティ診断を実行している間は、サービスを停める必要がありますか?
セキュリティ診断を受ける際に、診断対象のサービスを停止する必要はありません。
サイバーセキュリティクラウドのセキュリティ診断サービスでは、攻撃パターンを同時に送信しない等、診断対象のシステム負荷を可能な限り下げることで、運用中のサービスに影響を与えないようにしていますので、ご安心ください。
-
どのような脆弱性項目について診断するのですか?
セキュリティ診断では、診断対象のシステムに潜在する脆弱性について、様々な方向から診断を行います。
Webアプリケーション脆弱性診断サービスでは、SQLインジェクションやクロスサイトスクリプティングなど、データ改ざんや個人情報漏えいの危険性がある代表的な脆弱性はもちろん、他のユーザへのなりすましが可能な脆弱性についても診断を行います。
また、サーバについてはサーバ上で任意のプログラムを実行したり、管理者権限を不正に取得することでサーバを乗っ取ることができる脆弱性や、サーバの負荷を上げることでサービス妨害を行うことが可能な脆弱性が存在しないかについて診断を行います。
-
セキュリティ診断はどのくらい時間がかかりますか?
Webアプリケーション脆弱性診断サービスは、1日あたり20ページ。プラットフォーム診断は、1日あたり最大5台の診断が可能です。ただし、お客様のシステム環境によって多少増減することがありますので、目安としてお考えください。
-
診断報告書は、診断後どのくらいの期間で提出されますか?
Webアプリケーション特急診断サービスでは、診断実施後3営業日以内に特急診断報告書を提出いたします。
Webアプリケーション標準診断サービス、プラットフォーム脆弱性診断サービス、API脆弱性診断サービスは、診断結果報告書(速報)を診断実施後3営業日以内、診断結果報告書を診断実施後10営業日以内に提出いたします。
-
秘密保持契約書は締結できますか?
秘密保持契約書をご用意しております。詳しくはお問い合わせください。
-
アフターサポートの内容を教えてください。
診断によって発見された脆弱性の改修方法についてのご相談や、改修後の修正確認診断 ※について無償で対応いたします。
サイバーセキュリティクラウドでは、セキュリティ診断だけでなくシステム開発技術まで長けたセキュリティコンサルタントが、お客様環境を考慮した最適な改修方法をご提案致します。また、改修作業時の疑問にもアドバイスいたします。
※ Webアプリケーション特急診断を除く -
セキュリティ診断の実績はどの程度ありますか?
1998年よりサービスを開始し、これまで約2,000システムの診断実績があります。Webアプリケーション脆弱性診断サービスの診断対象では、ECサイトが最も多く約70%を占めています。
お見積・注文方法・お支払
-
見積りが欲しいのですが、どんな情報を提示すれば見積りできますか?
見積依頼フォームより、以下の情報をお知らせください。
- 診断対象の「規模(ページ数、診断IP数)」
- 診断環境は「オンサイト作業」または「リモート作業」どちらか
- 診断時間は「平日10時~18時」または「それ以外の指定する時間」
- 報告会の実施は「必要」または「不要」
もし、診断対象が確定していない場合は、その旨をお知らせください。無償にて診断対象の特定のサポートをいたします。
-
各診断サービスの概算費用を教えてください。
詳細は、価格ページをご確認ください。
-
セキュリティ診断にかけられる予算が決まっています。予算に応じた相談はできますか?
ほとんどのお客様が、セキュリティ診断のご予算を想定されています。
サイバーセキュリティクラウドでは、お客様のセキュリティ診断の目的をお聞きしてご要望に応じた診断対象の選定支援やアドバイス、そして全体スケジュールの調整など、ご予算に合わせた最適な診断方法をご提案いたします。
Webアプリケーション脆弱性診断
-
診断対象はどう選んだら良いですか?
お客様がページ遷移図をお持ちの場合は、サイバーセキュリティクラウドが診断対象の選定をし提案いたします。
また、ページ遷移図資料がない場合は、実際にアクセスを行い全ページをリストアップして診断対象候補のリストを作成します。あわせて診断対象ページの選定の提案いたします。
-
診断は検証環境やテスト環境が必要ですか?
サイバーセキュリティクラウドでは、検証環境(テスト環境、ステージング環境)をご用意いただいて、その環境下で診断を行うことを推奨しています。
その理由としては下記の3点が挙げられます。- Webアプリケーションの診断では、システム環境によって左右されず得られる診断結果が同じであること。
- 本番と切り離された環境のため、本番環境では控えた方が良いと判断した診断作業も安全に診断が行うことができ、より正確な診断が可能なこと。
- 診断作業によって一時的にシステムが停止したとしても本番環境には影響がないこと
可能であれば検証環境をご用意いただき、本番環境で動作しているのと同じWebアプリケーションをご準備ください。
-
本番環境で診断を実施してほしいのですが、注意すべきことをで教えてください。
サイバーセキュリティクラウドでは、診断前にお客様環境のヒアリングとアクセス確認を行います。お客様環境の特性を確認し診断対象や診断内容をまとめた「診断実施計画書」を作成・提出いたします。この「診断実施計画書」の内容について確認をお願いしております。
-
Webアプリケーションの決済システムの診断は可能ですか?
決済システムとはクレジットカードなどで決済を行うシステムのことです。もし、決済システムに脆弱性があった場合には、故意に価格を変更して決済が行われてしまったり、他人になりすまして決済されたりする被害が想定されます。金銭的な被害に直結する可能性があるため、非常に重要な診断対象と言えます。
決済システム部分に対して本物のクレジットカードを使用してセキュリティ診断を実施すると、実際にクレジット決済が発生する事になります。そのため、サイバーセキュリティクラウドでは本物のクレジットカードを使用したセキュリティ診断は実施しておりません。
決済システムに対して実際にセキュリティ診断を行う場合は、以下の 1. もしくは 2. の条件を満たしている事が必要となりますので、あらかじめご了承ください。
1. 決済システムの診断が可能な検証環境があること
本物のクレジットカード番号を使用しても決済処理が発生しないように構築された検証環境をご用意ください。もしくは検証環境下で決済処理が発生しない検証環境用のクレジットカード番号をご用意ください。
いずれかをご用意いただければ、決済処理の部分のみ検証環境でセキュリティ診断を実施いたします。2. 本番環境上でも決済処理が発生しないテスト用クレジットカード番号の用意があること
サイバーセキュリティクラウドでは、検証環境(テスト環境、ステージング環境)でセキュリティ診断を行うことを推奨していますが、本番環境下で決済処理が発生しないテスト用のクレジットカード番号をご用意いただければ、決済システムに対するセキュリティ診断を実施いたします。1. または 2. をご用意いただくことが難しい場合は、決済処理の直前までのセキュリティ診断となります。
-
Webアプリケーション脆弱性診断の価格は何で決まりますか?
診断費用は、診断対象となる「動的ページの数」によって決まります。
動的ページとは、あるイベント(表示や送信、確認や検索など)によって表示される「動的なコンテンツを含んだページ」です。Webアプリケーションの脆弱性の悪用は、検索ボタン等のイベントをクリックして発生するWebアプリケーションへのリクエストに含まれるパラメータ情報を改ざんすることで行われるので、このようなリクエストによって表示される動的ページが何ページあるか数えることで「動的ページの数」が決まります。
お手元にページ遷移図がある場合は、診断対象の選定が比較的容易にできます。お手元にページ遷移図が無い場合には、別途ご相談ください。
-
診断対象ページの数え方を教えてください。
診断対象となるのは動的ページ(ダイナミックページ)です。
動的ページの特定方法は、例えば、問い合わせページにある「送信」ボタンをクリックすることでメールアドレスに合わせて表示される内容が変わるページの場合、その表示ページを「動的な1ページ」としてカウントします。
同様に「中止」ボタンをクリックして表示されるページの内容も「動的な1ページ」としてカウントしますので、この例では「2ページ」が動的ページとしてカウントされることになります。なお、「問い合わせページ」へのアクセス自体は、入力フォームだけが表示される静的なページですので、診断対象には含みません。
-
まだ開発途中ですが、診断はできますか?
開発途中でアクセスができない場合には、診断はできません。
開発が終了して実際にアクセスできるページの場合は、診断が可能です。 -
Webシステムがインターネットに接続されていませんが診断できますか?
外部公開されていない場合、以下の2つの方法で診断を行う事ができます。
- 開発環境など、Webシステムへアクセスが可能な場所へ当社診断コンサルタントが赴き診断を行います。この場合、別途オンサイト費用が発生します。
- 診断日に当社からのアクセスを許可する設定をしていただき、当社環境から診断を行います。この場合は、追加の費用は発生しません。
-
リモートでの診断とオンサイトでの作業では診断結果に差がありますか?
リモートでもオンサイトでも、診断を実施する場所が異なるだけなので診断結果に差はありません。
-
診断対象ページのカウント方法について教えてもらえますか?
ページ遷移図がある場合は、診断対象とすべき対象の選定アドバイスの支援が可能です。ページ遷移図資料がない場合は、実際のURLから全ページをリストアップした上で、診断対象候補のリストを作成する必要があります。(この作業についてはご対応ができない場合があります)。詳しくはお問い合わせください。
なお、診断対象を選定する際に必要となる判断基準については、サイトの特性に合わせてご提案いたします。
サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください