「脆弱性診断をしましたか?」Webサイトを制作して納品する段階でクライアントからこんな質問されたことはありませんか?「脆弱性診断?聞いたことはあるけれど、具体的に何をしなければならないのか?何より納期まで時間がない!どうしたらよいのか?」ご安心ください。そんなニーズにお応えできるのがツールによる脆弱性診断です。
脆弱性診断はサイトやWebアプリケーションに正しい情報が掲載され、正しい動作をし、それを利用することが安心、安全であることを確認するセキュリティ対策です。インターネットは私たちの日常生活で欠かせないものになり、アクセスデバイスもPCからスマートフォンへとひろがり、様々なコンテンツやアプリケーションから情報を得たり、サービスの提供を受けたり、物品の購入が出来たりするようになっています。対面ではない仮想空間において信頼性は大変重要な要素で、信頼できるという大前提のもとで個人情報などのやりとりができます。脆弱性診断は、もちろん第一義としてセキュリティの問題点を発見することで、サイトが改ざんされるのを防止したり、個人情報が流出するのを防ぐために必要なことです。もう少し広い視点で考えるとインターネットを安心、安全に利用できるための信頼の礎を築くことを目的としています。様々なセキュリティ対策のなかでももっとも基本的な対策であり、サイトやWebアプリケーションを制作、開発した場合は、必ず納品前に実施していただきたいと思います。
脆弱性診断が必要なのはわかった。お客様からも実施を求められている。しかし、納期が迫っている。早く実施しなければならない!新しいサービスの提供やそのリリースのタイミングでは、そのように短納期が求められることはよくあると思います。早く実施したい、しかもできる限り網羅的に脆弱性を確認して、必要な対策を講じたいというのが基本的なニーズでしょう。そしてもしも制作コストの範囲内で脆弱性診断の実施まで求められている場合など、セキュリティ対策の重要性はわかっているものの、できれば安く実施したいとお考えになると思います。そのような短納期でコストパフォーマンスに優れたセキュリティ対策というのがツールによる脆弱性診断の特長でもあります。
早急な導入を実現できるのは、アイティーエムのツール診断がSaaS型で提供されるからです。初期ハードウェア、ソフトウェアの購入が不要で、早急な診断が必要な場合でもWebにて提供される管理ツールの利用により、最短2営業日で診断が可能です。オンデマンドによるご提供となっているため、お客さまのご利用されたいタイミングに合わせてスケジュール設定も可能、診断終了後に即時診断レポートを発行いたします。 「費用を抑えて診断したい」「開発時に手早く検査したい」というお客さまにおすすめです。
しかし、もしも診断の結果、修正が必要な脆弱性が発見されたらどうしたらよいか?当然修正するとして、また同じ手順やコストをかけて脆弱性診断をしなければならないのか?修正した結果、脆弱性がなくなったことを確認してから納品したいのはごもっともです。アイティーエムではそのようなニーズにお応えするために、ビフォア・アフターで脆弱性診断ができるように2回チケットというプランを割安にご用意しています。また開発段階から何回もチェックしたいという場合には回数無制限のプランもご用意しています。
つまり、Webサイト制作という現場において納品までのスピード感を失うことなく、セキュリティリスクまでを未然に防ぐTCOの削減に貢献できるのがツールによる脆弱性診断です。
セキュリティ診断・脆弱性診断サービスのWebSiteScanは、お客さまのWebサイトをリモートで診断を行うサービスです。SaaS型サービスなので、お客さまはソフトウェアやハードをご購入いただく必要はございません。オンデマンドによるご提供となっているため、お客さまのご利用されたいタイミングに合わせてスケジュール設定も可能、診断終了後に即時診断レポートを発行いたします。 「コーポレートサイトを費用を抑えて診断したい」「開発時に手早く検査したい」などのお客さまにおすすめです。
特長 | 説明 |
---|---|
コンテンツ更新時など、オンデマンド診断が可能 |
Webにて提供される管理ツールの利用により、診断日を任意で設定可能。 利用したいタイミングでタイムリーに診断。 SaaS形式の為、初期ハードウェア、ソフトウェアの購入不要。 |
充実したサポートメニュー | 必要に応じてセキュリティコンサルタントによる報告会の実施など、充実したサポート体制 |
高性能なWebアプリケーション脆弱性診断 |
従来のローエンドモデルでは提供が難しいID/パスワード認証後の診断も可能。 ネットワーク・サーバ負荷低減機能により、システムに与える心配を軽減。 |
Webアプリケーション脆弱性診断 | |
---|---|
診断方法 | ツール診断 |
ログイン後の脆弱性診断 | ○ |
脆弱性の説明・発生箇所 | ○ |
レポート作成 | 管理サイトからPDF取得
(定期診断後、即時) ※検出された脆弱性に対する推奨される対処方法も記載 |
報告会の実施 | ○(オプション) |
診断項目 | Cookieの取り扱い、セッションID、クロスサイトリクエストフォージェリ、エラーメッセージ処理、SQLインジェクション、クロスサイトスクリプティング、ディレクトリラバーサル、コマンドインジェクション、改行インジェクション、リンクインジェクション、情報公開、HTTPレスポンス分割、コメント、強制ブラウジング、ディレクトリリスティング、システム情報の開示、不要メソッドディレクトリ存在の確認、サーバーエラーメッセージなど |
診断対象 | 自社サイト、キャンペーンサイトなど |
準拠規格 | PCI DSS※ |
※ PCI DSS:VISA、 MasterCard、JCB、American Express、Discoverの5大カードブランドによって2006年9月に設立された米国PCIデータセキュリティ基準審議会(PCI SSC)が制定した、国際的なクレジット産業向けのデータセキュリティ基準。
ここまでツールによる脆弱性診断についてお話してきました。ツール診断はすばやく、網羅的に、しかも安価に実施できるのが特長です。情報を提供するWebサイトなど、公開前に脆弱性を確認したり、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぎたいという場合にはとても費用対効果の高いセキュリティ対策になります。
しかし、もしも制作したサイトが個人情報を扱うような場合は、もちろんツール診断をすることも有効ですが、ツール診断ではカバーしきれないセッション管理系の診断を行うには、手動診断をおすすめします。手動診断とは、専門のエンジニアによって行われる診断です。ECサイトや大量の個人情報を扱うサイトでは必須です。
ツール診断 | 手動診断 | |
---|---|---|
メリット |
・短期間で導入可能 ・安価で導入可能 ・Web画面からお客様の好きなタイミングで診断可能 ・診断結果もWeb画面より確認でき、 レポートはPDF形式でダウンロード可能 |
・専門エンジニアが診断をするため ツール診断でカバーできない精度の高い診断が可能 |
デメリット |
・複雑なサイト構成には対応できなく、 細部の診断まではできない |
・診断結果が出るまで日数がかかる ・費用が高額になる |
診断対象サイトの例 |
・コーポレートサイト ・キャンペーンサイト |
・ECサイト ・個人情報や機密情報を取り扱っているサイト |
しっかりしたWebアプリケーションを制作したが、やはり脆弱性がないか心配でしょうし、第三者のお墨付きをもらってクライアントに納品できればさらに安心です。そのようなときにはツール診断がおすすめです。ツール診断は、その名の通りツールによる自動診断です。例えばアイティーエムのツール診断はSaaS型での提供ですから、安価で網羅的に診断できます。手軽にWebブラウザからログイン後、診断から結果まで、最短5分で完了します。発見された脆弱性評価を「緊急・重大・高・中・低・情報」と影響で分類し、詳細な日本語のわかりやすいレポートによって報告します。
Webアプリケーション脆弱性診断のWebSiteScanは、お客さまのWebサイトをリモートで診断を行うサービスです。SaaS型サービスなので、お客さまはソフトウェアやハードをご購入いただく必要はございません。オンデマンドによるご提供となっているため、お客さまのご利用されたいタイミングに合わせてスケジュール設定も可能、診断終了後に即時診断レポートを発行いたします。 「コーポレートサイトを費用を抑えて診断したい」「開発時に手早く検査したい」などのお客さまにおすすめです。
もちろん早く、安く実施したいのはわかりますが、ECサイトなど個人情報を扱うサイトについては慎重になる必要があります。不正アクセスなどによる情報漏えいは、ビジネスに致命的な影響を及ぼします。自社サイトに直接的な被害はなくても、脆弱性が悪用されてWebサイトを攻撃の踏み台にされる場合もあります。そのような場合はツール診断とあわせて手動診断を実施してください。
脆弱性手動診断サービスのWebSiteScan Proは、ツール診断と併せて専門のエンジニアの手動診断により、ツール診断ではカバーしきれないセッション管理系の脆弱性診断も行います。 「ECサイトのセキュリティを対策したい」「大量の個人情報を扱っている」などのお客さまにおすすめのセキュリティ診断サービスです。
アイティーエムは、お客様のニーズに合わせて選べる複数の脆弱性診断をご用意しています。ぜひお気軽にご相談ください。
お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0、WebSiteScan、WebSiteScanProの3つのシリーズよりお選びいただけます。