SSG head title

セキュリティ診断に関する FAQ

よくある質問

New FAQ

セキュリティ診断全般のFAQ

  1. 外部からアクセスできない環境に対して診断をして欲しいのですが、可能でしょうか?
  2. 診断を行っている最中は、どの程度のシステム負荷がかかるのでしょうか?
  3. 診断は安全でしょうか?トラブルが発生する恐れはありませんか?
  4. トラブルが発生して場合、どのように対処するのですか?
  5. 診断の結果がまとめられた報告書について質問がある場合、サポートしてくれますか?
  6. セキュリティ診断を実行している最中は、サービスを停めなくてはなりませんか?
  7. どのような脆弱性項目について診断するのですか?
  8. セキュリティ診断にはどのくらい時間がかかるのでしょうか?
  9. 診断後の報告書はどのくらい期間で提出されるのでしょうか?
  10. 秘密保持契約書を締結したい。
  11. アフターサポートはどのようなことをしてくれるのか?
  12. セキュリティ診断の実績はどの程度あるのか?

お見積・注文方法・お支払に関するFAQ

  1. 見積りが欲しいのですが、どんな情報を提示すれば見積りできますか?
  2. セキュリティ診断費用の概算はどのくらいでしょうか?
  3. セキュリティ診断に掛けられる予算が決まっています。予算に応じた相談はしてくれるのか?

Webアプリケーション診断のFAQ

  1. 診断対象はどうやって選んだら良いですか?
  2. 診断は検証環境やテスト環境を用意しなくてはなりませんか?
  3. 本番環境で診断を実施してほしいのですが、何に注意すべきでしょうか?
  4. Webアプリケーションの決済システムを診断してもらう事はできますか?
  5. Webアプリケーション診断の価格は何で決まりますか?
  6. 診断対象ページの数え方はどのようなものですか?
  7. まだ開発途中ですが、診断はできますか?
  8. Webシステムがインターネットに接続されていませんが診断できますか?
  9. リモートでの診断とオンサイトでの作業では診断結果に差がありますか?
  10. Flash (フラッシュ)で作成されたサイトを診断する必要がありますか?
  11. Flash (フラッシュ)で作成されたサイトを診断できますか?
SSG Query

セキュリティ診断全般のFAQ

Question

外部からアクセスできない環境に対して診断をして欲しいのですが、可能でしょうか?

Answer

ソフテックのセキュリティ診断では、インターネット経由でアクセスできないシステムの場合、以下の方法で診断することが可能です。

  • 診断可能な場所に当社コンサルタントが赴き、そこから診断を実施します(別途オンサイト費用が発生します)
  • 当社が指定するIPアドレスからシステムにアクセスできるように、お客様のファイアウォール等の設定を変更していただき、当社よりインターネット経由で診断を実施します(追加費用は必要ありません)

Question

診断を行っている最中は、どの程度のシステム負荷がかかるのでしょうか?

Answer

セキュリティ診断では、診断用ツールによる擬似的な攻撃を行いますが、この際に診断対象へのアクセス頻度が一時的に増えるため、システム負荷が上がる可能性があります。

ソフテックのセキュリティ診断は、診断対象へのアクセスを同時に行わないように診断ツールをチューニングすることで、診断対象のシステム負荷を最小限に抑えて診断を行うことができます。

具体的なアクセス頻度については、診断対象システムの応答速度にもよりますが、平均的には毎秒2~3回(人間による手動アクセスより少し早い程度)に抑えることができますので、お客様には、このくらいの頻度でアクセスが発生した場合のシステムへの影響について、事前にご確認いただけますようお願いいたします。

Question

診断は安全でしょうか?トラブルが発生する恐れはありませんか?

Answer

セキュリティ診断は、悪意を持った人間からの攻撃を模擬する形で診断を行います。つまりシステムにとってみれば、セキュリティ診断は悪意を持った攻撃と何ら変わりはありません。

そのため、診断作業によるリスクを完全に無くすことは不可能と言えるでしょう。特にWebアプリケーションについては、サイトごとにオリジナルなプログラム開発が必要になりますので、その実装方法によっては他のサイトでは取るに足らない擬似攻撃が大きな障害に繋がる可能性も完全には否定できません。

ソフテックのセキュリティ診断では、そのようなトラブルを未然に防ぐために、診断前のリスクシミュレーションを徹底して行っております。事前のアクセス確認による診断時のリスクの洗い出しを徹底的に行い、診断時に想定されるトラブルを回避するための検討をお客様のシステムごとに実施することで、お客様が安心してソフテックのセキュリティ診断をご利用いただけるようにしております。

Question

トラブルが発生して場合、どのように対処するのですか?

Answer

万が一、セキュリティ診断時にトラブルが発生した場合は、すぐに診断を中止し、診断時のログ等からトラブルの原因調査を行い、被害を最小限に抑えるようにいたします。また、調査結果として、トラブル内容、および対策方法についてお客様にご報告を行います。

また、発生したトラブルのシステムへの影響を最小限に抑えるためのサポート体制を事前に用意し、トラブル発生時には迅速に対応いたします。

Question

診断の結果がまとめられた報告書にについて質問がある場合、サポートしてくれますか?

Answer

診断結果報告書の内容について、不明な点がある場合は、報告書提出後1ヶ月以内で、電話および電子メールにてサポートをさせていただきます。

また診断結果報告書の内容をより詳しく理解したいお客様には、オプションで報告会を実施させていただきます。実際にセキュリティ診断を担当したコンサルタントが、直接お客様の疑問や関連する内容に納得するまでお答えしますので、報告書の内容について、より理解度を深めることができます。

Question

セキュリティ診断を実行している最中は、サービスを停めなくてはなりませんか?

Answer

セキュリティ診断を受ける際に、診断対象のサービスを停止する必要はありません。

ソフテックのセキュリティ診断では、攻撃パターンを同時に送信しない等、診断対象のシステム負荷を可能な限り下げることで、運用中のサービスに影響を与えないようにしていますので、ご安心ください。

Question

どのような脆弱性項目について診断するのですか?

Answer

セキュリティ診断では、診断対象のシステムに潜在する脆弱性について、様々な方向から診断を行います。

Webアプリケーションについては、SQLインジェクションやクロスサイトスクリプティングなど、データ改ざんや個人情報漏洩の危険性がある代表的な脆弱性はもちろん、他のユーザへのなりすましが可能な脆弱性についても診断を行います。

またサーバについては、サーバ上で任意のプログラムを実行したり、管理者権限を不正に取得することでサーバを乗っ取ることができる脆弱性や、サーバの負荷を上げることでサービス妨害を行うことが可能な脆弱性が存在しないかについて診断を行います。

Question

セキュリティ診断にはどのくらい時間がかかるのでしょうか?

Answer

Webアプリケーションの場合、1日あたり20ページ。プラットフォーム診断とサーバ構成診断は、1日あたり最大5台の診断が可能です。ただし、お客様のシステム環境によって多少増減することがありますので、凡その目安としてお考えください。

Question

診断後の報告書はどのくらい期間で提出されるのでしょうか?

Answer

Webアプリケーション特急診断では、3営業日以内に特急診断報告書を提出致します。

Webアプリケーション標準診断、プラットフォーム診断、サーバ構成診断はそれぞれ、診断結果報告書(速報)を診断後3営業日、診断結果報告書を診断後10営業日に提出致します。

Question

秘密保持契約書を締結したい。

Answer

秘密保持契約書をご用意しております。詳しくはお問い合わせください。

Question

アフターサポートはどのようなことをしてくれるのか?

Answer

診断によって発見された脆弱性の改修方法についてのご相談や、改修後の修正確認診断について無償でご対応させていただきます。

ソフテックでは、セキュリティ診断だけでなくシステム開発技術まで長けたセキュリティコンサルタントが、お客様環境を考慮した最適な改修方法をご提案致します。また、改修作業時の疑問や質問にもアドバイス致します。

Question

セキュリティ診断の実績はどの程度あるのか?

Answer

1998年よりサービスを開始し、2017年12月末現在まで約1200件の診断実績があります。Webアプリケーションの診断対象では、ECサイトが最も多く約70%を占めています。

お見積り・注文方法・お支払に関するFAQ

Question

見積りが欲しいのですが、どんな情報を提示すれば見積りできますか?

Answer

お見積ご依頼フォームより、以下の情報をお知らせください。

  • 診断対象の「規模(ページ数、診断IP数)」
  • 診断環境は「オンサイト作業」であるか「リモート作業」であるか
  • 診断時間が「平日10時~18時」か「それ以外の指定する時間」か
  • 報告会の実施が「不要」か「必要」か

もしも、診断対象の特定がお済みでない場合は、その旨お知らせください。無償にて診断対象の特定のご支援をさせていただきます。

セキュリティサービスお見積依頼フォーム

Question

セキュリティ診断費用の概算はどのくらいでしょうか?

Answer

ご参考までに、各セキュリティ診断サービスの概算を提示致します。詳細は、価格・見積・ご購入方法をご覧ください。

小規模
(10ページ)
標準規模
(20ページ)
中規模
(50ページ)
大規模
(150ページ)
Webアプリケーション
(ページ)
40万円程度~ 85万円程度~ 160万円程度~ 350万円程度~
小規模
(5IP)
標準規模
(10IP)
中規模
(15IP)
大規模
(30IP)
プラットフォーム診断
(IP)
35万円程度~ 52.5万円程度~ 70万円程度~ 125万円程度~
サーバ構成診断
(IP)
80万円程度~ 110万円程度~ 150万円程度~ 240万円程度~

Question

セキュリティ診断に掛けられる予算が決まっています。予算に応じた相談はしてくれるのか?

Answer

ほとんどのお客様が、セキュリティ診断のご予算を想定されています。

ソフテックでは、お客様のセキュリティ診断の目的をお聞きしてご要望に応じた診断対象の選定支援やアドバイス、そして全体スケジュールの調整などを提案しお手伝い致します。お客様にのご予算に合わせた最適な診断方法をご提案致します。

Webアプリケーション診断のFAQ

Question

診断対象はどうやって選んだら良いですか?

Answer

お客様がページ遷移図をお持ちの場合は、ソフテックが診断対象とすべき対象選定をご支援致します。

また、ページ遷移図資料がお手元にない場合には、実際にアクセスを行い、全ページをリストアップして診断対象候補のリストを作成致します。あわせて診断対象ページの選定のご支援をいたします。ご希望される場合は担当者にご相談ください。

Question

診断は検証環境やテスト環境を用意しなくてはなりませんか?

Answer

ソフテックでは、検証環境(テスト環境、ステージング環境)をご用意いただいて、その環境下で診断を行うことを推奨しています。

その理由は、第一に、Webアプリケーションの診断ではシステム環境によって左右されず、得られる診断結果が同じであり、第二に、検証環境であるため安全に診断が行えるためです。そのため、検証環境をご用意いただき、本番環境で動作している同じWebアプリケーションのご準備をぜひ、ご検討ください。

また、検証環境であれば本番環境では控えた方がよいと判断した診断作業も実施ができます。これによりWebアプリケーションのより正確な診断が出来るようになります。また、検証環境ですので診断作業によって一時的にシステムが停止したとしても安心です。

Question

本番環境で診断を実施してほしいのですが、何に注意すべきでしょうか?

Answer

ソフテックは、診断前にお客様環境のヒアリングとアクセス確認を行います。お客様環境の特性を確認させていただき、診断対象や診断内容をまとめた「診断実施計画書」を作成・提出致します。お客様には、ソフテックが提出する「実施契約書」の内容についてご確認をお願いいたします。

ソフテックのセキュリティ診断は、本番のシステム環境に対する診断を実施する場合でもお客様にもご安心いただけるように徹底的にリスクを回避致します。

Question

Webアプリケーションの決済システムを診断してもらう事はできますか?

Answer

決済システムとはクレジットカードなどで決済を行うシステムのことです。もし、決済システムに脆弱性があった場合には、故意に価格を変更して決済が行われてしまったり、他人になりすまして決済されたりする被害が想定されます。金銭的な被害に直結する可能性があるため、非常に重要な診断対象と言えます。

決済システム部分に対して本物のクレジットカードを使用してセキュリティ診断を実施致しますと、実際にクレジット決済が発生する事になります。ソフテックでは本物のクレジットカードを使用したセキュリティ診断は実施しておりません。

決済システムに対して実際にセキュリティ診断を行う場合は、以下の 1. もしくは 2. の条件を満たしている事が必要となりますので、あらかじめご了承ください。

1. 決済システムの診断が可能な検証環境をご用意ください。

本物のクレジットカード番号を使用しても決済処理が発生しないように構築された検証環境をご用意ください。もしくは検証環境下で決済処理が発生しない検証環境用のクレジットカード番号をご用意ください。

上記のいずれかをご用意いただければ、決済処理の部分のみ、検証環境でセキュリティ診断を実施致します。

2. 本番環境上でも決済処理が発生しないテスト用クレジットカード番号をご用意ください。

ソフテックでは、検証環境(テスト環境、ステージング環境)でのセキュリティ診断を行うことを推奨しています(※)が、本番環境下で決済処理が発生しないテスト用のクレジットカード番号をご用意いただくことが可能であれば、決済システムに対するセキュリティ診断を実施することができます。

(※) 詳しくは「診断は検証環境やテスト環境を用意しなくてはなりませんか?」をご覧ください。

1. または 2. をご用意いただくことが難しい場合は、決算処理の直前までのセキュリティ診断とさせていただきますので、何卒ご了承ください。

Question

Webアプリケーション診断の価格は何で決まりますか?

Answer

診断費用は診断対象となる「動的ページの数」によって決定されます。

動的ページとは、あるイベント(表示や送信、確認や検索など)によって表示される「動的なコンテンツを含んだページ」です。Webアプリケーションの脆弱性の悪用は、検索ボタン等のイベントをクリックして発生するWebアプリケーションへのリクエストに含まれるパラメータ情報を改ざんすることで行われますので、このようなリクエストによって表示される動的ページが何ページあるのを数えることで「動的ページの数」が決まります。

お手元にページ遷移図がある場合は、診断対象の選定ご支援が比較的容易にできます。お手元にページ遷移図が無い場合には、別途ご相談ください。選定作業のご支援を致します。

また、お客様ご指定場所でのオンサイトによる作業、休日深夜での作業、報告会実施のご要望がある場合は、別途オプションにて対応させて頂いております。

Question

診断対象ページの数え方はどのようなものですか?

Answer

脆弱性診断対象となるのは動的ページ(ダイナミックページ)になります。動的ページの特定方法ですが、例えば、問合わせページにある「送信」ボタンをクリックすることでメールアドレスに合わせて表示される内容が変わるページの場合、その表示ページを「動的な1ページ」としてカウントします。

同様に「中止」ボタンをクリックして表示されるページの内容も「動的な1ページ」としてカウントしますので、この例では「2ページ」が動的ページとしてカウントされることになります。

なお、「問合せページ」へのアクセス自体は、入力フォームだけが表示される静的なページですので、診断対象として含みません。

ページカウント説明図

Question

まだ開発途中ですが、診断はできますか?

Answer

開発途中でアクセスができない場合には、診断が出来ません。
開発が終了して実際にアクセスできるページであれば診断が出来ます。

Question

Webシステムがインターネットに接続されていませんが診断できますか?

Answer

外部公開されていない場合、以下の二つの方法で診断を行う事ができます。

  • 開発環境など、アクセスが可能な場所へ当社診断コンサルタントが赴き診断を行います。
    この場合、別途、オンサイト費用が発生します。
  • 診断日に当社からのアクセスを許可する設定をしていただき、当社環境から診断を行います。
    この場合は、追加の費用は発生しません。

Question

リモートでの診断とオンサイトでの作業では診断結果に差がありますか?

Answer

ページ遷移図から診断対象とすべき対象の選定アドバイスの支援が可能です。ページ遷移図資料がお手元にない場合は、実際のURLから全ページをリストアップした上で、診断対象候補のリストを作成しなければなりません(この作業についてはご対応が出来ない場合があります)。詳しくは担当者にお問合せください。

なお、診断対象を選択する際に必要となる判断基準のアドバイスについては、サイトの特性に合わせて対応致します。お気軽にお問い合わせください。

Question

Flash (フラッシュ)で作成されたサイトを診断する必要がありますか?

Answer

はい、診断する必要がございます。Flash (フラッシュ) で作成されたサイトでも、Web アプリケーションと Web クライアントの間で、データのやり取りを行いながら処理を行う場合には、このデータ通信の部分については、通常のWebサイトと同様にパラメータ経由でデータのやり取りが発生するため、この部分については脆弱性診断が必要になります。

Question

Flash (フラッシュ)で作成されたサイトを診断できますか?

Answer

はい、Web アプリケーション診断にて、診断できます。但し、弊社 Web アプリケーション診断で診断可能な部分は、Web アプリケーションと Web クライアントでのデータのやり取りを行う部分となります。Flash (フラッシュ) で作成されたプログラムは、Web ブラウザ側にダウンロードしてから動くプログラムですので、プログラム単体で閉じて処理が行われる場合には、Web アプリケーションとのデータのやり取りは発生しないため、弊社の Web アプリケーション診断の対象にはなりません。

SSG Query