SSG head title

Webアプリケーション診断 提供の流れ

診断を行う際の作業の流れ

 ソフテックがご提供するWebアプリケーション診断は、お問い合せから診断結果ご報告まで、最短で 3週間程度で完了することができます。また、それぞれの手順や各工程に必要な時間については、お客様のご希望に合わせて調整できますので、ご遠慮なくお問い合せ下さい。

作業の流れ

フェーズ 1 事前手続きから診断まで

1
事前調査

 ソフテックのWebアプリケーション診断の見積価格は、例えば検索結果の表示ページなどの、いわゆるWebコンテンツの表示内容が動的に変わるページ(動的ページ)の量で決まりますので、診断するWebサイトにどれくらい動的ページが存在するかを把握する必要があります。動的ページの量を正確に把握するために予め「同意書」によるご同意を頂いた上で、診断対象となるWebサイトの情報をお客様からご提示いただきます。具体的には、ヒアリングシートや画面遷移図、必要な場合には実際のWebサイトにアクセスすることにより確認を行い、診断対象となる動的ページのリストアップを行います。

見積作成

 事前調査でリストアップした動的ページのページ数を元に、お見積を作成し、お客様へ提示します。お見積条件は、診断対象ページ数の他に、診断方法(リモート/オンサイト)、診断時間(深夜・休日作業)、報告会実施がございます。

実施計画書の提示

 診断対象となるWebサイトは、検証環境の中で稼働している場合と、既に運用中のサイトの場合があります。運用中のサイトが診断対象になる場合、実際のサービス稼働中に診断を行うため、多くのリスクが想定されます。
 例えば、診断によってシステムの負荷が高くなった結果、利用ユーザに支障が出ることは回避しなければなりません。またECサイトなどで決済処理がある場合、診断によって実際の決済処理が発生することは、第三者の認証機関を巻き込む事故に発展する恐れがありますので絶対に避ける必要があります。
 当社のWebアプリケーション診断では、実際の診断時におけるリスクを可能な限り軽減するために、事前調査の際に得られた情報を元にリスク分析を行います。また、そのリスクを回避するための手順を診断手順書にまとめることで、実際の診断時のケアレスミスを未然に防ぎます。

フェーズ 2 診断作業実施

2
診断実施

 事前調査でリストアップした動的ページに対して、脆弱性診断を実施いたします。  ソフテックの診断サービスについては、診断中のアクセスログは全て採取しております。これにより診断後でもアクセス内容の確認を行うことができます。
 また診断対象ページ以外のページに誤ってアクセスしてもリクエストが発生しないように、診断用PC上でアクセス制限を行うことで第三者のサイトに誤って診断用の疑似アタックを行ってしまうリスクを未然に防ぎます。
 また、診断中に危険度の高い脆弱性が検出された場合には、ご担当者様に検出結果に関する簡単な説明を実施しますので、診断時に検出された脆弱性の内容について把握することができます。

フェーズ 3 報告書作成からご報告まで

3
報告書作成

 危険度の高い脆弱性を中心にとした報告については「診断結果速報」にまとめ、診断後3営業日で報告します。「診断結果速報」では、検出された脆弱性の中で危険度の高い内容について、以下の内容が記載されていますので、危険度の高い脆弱性に対するWebアプリケーションの修正にすぐに取りかかることができます。

  • 脆弱性の解説
  • 検出箇所(URL、パラメータ)
  • 危険度
  • 検出根拠
  • 実際に脆弱性を利用して確認した影響度
  • 対処方法

 また診断結果の詳細な情報を含む、総合的な診断結果については「診断結果報告書」にまとめ、診断後 10 営業日で報告します。「診断結果報告書」は、診断において検出された全ての脆弱性に対して、以下の内容が記載されていますので、脆弱性に対する修正作業のサポートはもちろん、今回の診断において検出された脆弱性のリスクや影響度について総合的に判断することができる内容となっております。

  • 診断全体に対する総合評価
  • 脆弱性の検出状況に対する統計情報
  • 診断対象サイト単位で検出された脆弱性分析
  • 検出された脆弱性の検出箇所(URL、パラメータ)
  • 検出された脆弱性の危険度
  • 検出された脆弱性の検出根拠
  • 検出された脆弱性の脆弱性を利用して確認した影響度
  • 検出された脆弱性の対処方法
報告会実施(オプションサービス)

 診断作業を行った当社セキュリティ・エンジニアがお客様先に訪問し、提出した「診断結果報告書」の内容について、直接ご説明を行います。検出された脆弱性に関する開発者の方からの詳細なご質問や、経営層の方からの今回の診断に関する総合的なセキュリティリスクに関するご質問等、その場での質疑応答も合わせた報告会となります。Webアプリケーションの修正作業を適切に行うための有意義な内容になると思いますので、是非ご利用下さい。

フェーズ 4 診断後の対応

4
アフターサポート

 ソフテックの診断後のアフターサポートとして、診断報告後 1ヶ月以内においては、診断結果に対する質問回答と、お客様が実施した脆弱性への修正が適切に行われているかについて確認を行わせていただきます。診断結果に対する質問回答については、当社セキュリティ・エンジニアが電話またはメールで内容について回答させていただきます。
 また同じく診断報告後 1ヶ月以内においては、お客様が行ったWebアプリケーションの脆弱性に関する修正内容に対する再診断を無料で行わせていただき、診断結果を「再診断結果報告書」にまとめてご報告させていただきます。

SSG Query