SSG head title

ソフテックの診断に対するこだわり(詳細)

ソフテックの診断に対するこだわり(詳細)

お客様のシステムに必要以上の負荷を与えません

 安全に診断を行うためには、お客様のシステム(特に運用中のサイト)に必要以上に負荷を与えないようにすることがとても大切です。ソフテックの診断ではコンサルタントの手動による診断作業のほかに診断ツールも使用しますが、診断ツールの送信頻度を最低限に抑えることで、お客様の環境に必要以上の負荷を与えないように配慮をした診断を実施しています。

<診断ツールの使用例>
Webアプリケーション診断 :1秒間に、2~3リクエスト
サーバ診断(プラットフォーム診断) :1秒間に、5~10リクエスト

 また、運用中のシステムにアクセスが集中する時間(例:始業時や昼休み等)が事前に分かる場合は、その時間を外して診断を実施することで、更なるシステム負荷の軽減を実施しています。

お客様の診断対象ページの選定を致します

 Webアプリケーションで診断が必要となるページは診断前に確認する必要がありますが、ソフテックの診断では、特にアクセスが困難な場合を除き、診断対象となるWebアプリケーションへ実際にアクセスを行い、動作内容を確認しながら診断対象となるページをピックアップを行うとともに、診断時に発生するリスクの把握を行います。

 また、ピックアップした診断対象ページのリスト化を行い、セキュリティ上の観点から診断ページの優先度を設定することで、お客様のご予算に合わせて、優先度の高いものから診断対象ページを更に絞り込むこともできます。

診断リスクシミュレーション(診断実施計画書)を作成します

 診断実施の前にお客様のシステム環境の診断リスクのシミュレーションを行い、診断実施計画書を診断の実施前に提出致します。セキュリティ診断の安全を確保しながら、セキュリティを熟知したコンサルタントによる高精度のセキュリティ診断をご提供いたします。

 サーバやWebアプリケーションの特性はそれぞれ違うものです。ソフテックは、お客様の システム環境に合わせて、安全の確認をすべき対象の選定と診断方法を個別カスタムで 対応しています。

 システム環境についてのヒアリングをする。その後、事前にサイトにアクセスしてWebアプリケーションの動作を把握した上で、診断方法をシミュレーションをし、“診断実施計画書”の作成・提示。お客様には、診断実施計画書の内容で問題ないことを お客様にご確認いただいてから、“ご発注”をいただく。

 一つひとつのステップを確実に確かめることで、安全で確実な診断をご提供いたします。

どんなWebアプリケーションでも診断することができます

 Webアプリケーションは、Webサーバ上で動作するスクリプト言語やミドルウェアを使って行う一般的なデータ処理の他に、携帯/スマートフォンに特化したもの、Flash/Ajax/JSON等のWeb関連技術を使ったもの、XML/SOAP等のWebサービスを使ったもの、APIを直接実行する必要があるものなど、様々な実装方法があり、単純なWebアプリケーション診断では満足に診断できない場合があります。

 ソフテックの診断では、コンサルタントの診断スキルはもちろん、サイトの実装内容に合わせた診断方法の調査を、診断前に行う診断方法のシミュレーション時に行うことで、どのようなWebアプリケーション環境でも診断を実施することができます。

最新のセキュリティ動向を把握。診断品質を常に向上させています

 最新の攻撃手法やセキュリティホールに対応したセキュリティ診断を提供するためには、常に最新のセキュリティ動向を把握し、診断内容を常に更新していく必要があります。

 ソフテックでは、OWASP(Open Web Application Security Project)やIPA(独立行政法人 情報処理推進機構)などの各種セキュリティ団体から公開される情報や、実際の不正アクセス事例における攻撃手法の関連情報、さらにはベンダから公開されるセキュリティホール情報を元に、最新の脆弱性情報やそれを悪用する攻撃手法について分析を行い、診断内容へフィードバックすることで、最新のセキュリティ動向に対応した診断サービスを提供しています。

 ベンダから公開されるセキュリティホール情報をデータベースで管理し、SIDfm(セキュリティホール危険度警告センター)としてサービス提供を行うことで、ソフテック自身がセキュリティ情報の発信者となり、診断時にその情報を最大限に活かすことでソフテック独自の診断を実現しております。