サイバートラスト

脆弱性ツール診断の概要

脆弱性ツール診断サービスの概要

お客様の Web サーバーに、サイバー攻撃の足がかりとなるような脆弱性があるかどうか、最新のセキュリティ情報に基づいて診断するクラウド型の脆弱性診断サービスです。本サービスは三和コムテックの SCT SECURE クラウドスキャンの機能を利用して提供しています。

ツールによる自動診断サービスですが、診断品質はカード業界のセキュリティ基準 PCI-DSS ASV レベルの品質を保持しています。

脆弱性ツール診断システム概要

サービスの特長

FQDN だけで簡単に申し込めます

クラウドサービスであるため、Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要です。FQDN の申請だけで最新のセキュリティ情報に基づいた診断を、今すぐに始めることができます。

お申し込みから 1 週間程度で診断が実施できます

お申し込みから 1 週間程度で脆弱性診断を実施します。診断結果は PDF 形式のレポートにまとめられ、3 営業日以内にメールで納品されます。

ツール診断なので低コストで診断できます

専門スタッフによる本格的な脆弱性診断に比べると、診断にかかる費用を大きく削減できます。

脆弱性ツール診断は、このようなお客様にお薦めする診断サービスです

サイバートラストでは、ツールによる脆弱性診断サービスをご提供しています。
本サービスは、脆弱性診断に対して以下のようなご要望をお持ちのお客様にご提供するサービスです。

  • コーポレートサイト(企業ホームページ)の脆弱性診断を実施したい。
  • 本格的な脆弱性診断を実施するための予算が不足している。
  • サービスインまで時間的な余裕がなく、本格的な脆弱性診断が行えない。
  • 開発途中の Web アプリケーション・Web サービスに対して簡易的に脆弱性診断を実施したい。
  • 継続的(1 年ごと、半年ごと)に脆弱性診断を実施したい。

脆弱性ツール診断は、ツールによる自動診断ですので、複雑な Web アプリケーションの場合、探索・診断できるページに限界があります。
複雑な Web アプリケーションの場合は、経験豊かなセキュリティ技術者が個別に対応する脆弱性診断サービスをおすすめしています。
ご判断に迷う場合は、まずはお気軽にご相談ください。


脆弱性ツール診断において Web アプリケーションの診断ができないページ例】

JavaScript で遷移するページ 脆弱性ツール診断では、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。
たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。
同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。
入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。
前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。
Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。
クロスドメイン認証(別ドメインでの認証)を使用しているサイト フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。
POST メソッドでアクセスするページ クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。
文字コードが適切に設定されていないページ 脆弱性ツール診断はデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。
Cipher Suites を制限しているサイト 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。

お見積もり・ご導入

お見積もり・ご導入をご検討いただける場合は、下のボタンをクリックして、専用フォームよりお問い合わせください。

脆弱性ツール診断のお見積もり・導入相談はこちら