サイバートラスト

Webスキャナー

Webスキャナー / WebスキャナーLight に関する FAQ

こちらでは、Webスキャナーの導入・活用に関して、よくある質問をQ&A形式でご案内いたします。


導入前のご相談

Q. 既にファイヤーウォールを設置していますが、それでもWebスキャナーが必要ですか?
ファイヤーウォールは安全なネットワーク環境を構築する上で必要不可欠な機器ですが、ファイヤーウォールを効果的に使用するためには常に適切に設定し運用する必要があります。また、ファイヤーウォールは外部からアクセス可能なサービス、WebサーバーやWebアプリケーション内での欠陥や構成ミスに対する攻撃を防ぐことはできません。
Webスキャナーはこれらサービスに対する脆弱性を検査し、ファイヤーウォールをより効果的に使用するお手伝いをします。
不正アクセスにより盗まれる個人情報のほとんどは、ファイヤーウォールの背後に設置されたサーバー上にあり、ファイヤーウォールの導入は安全なネットワーク構築の始めの一歩であると考えたほうがいいでしょう。
Q. 設定には特別な機器やソフトなどをインストールする必要はありますか?
特に新規でソフトウェアはハードウェアを導入する必要はありません。スキャンはリモートから実施し、現在の状況におけるセキュリティーを調査します。
Q. スキャニングの内容や脆弱性診断の基準を教えてください。
スキャンの内容は、サーバー上のOS、各サービス、Webアプリケーションに対し、ハッキングの既知の手口を使用して脆弱性の有無を調査します。準拠している基準は、Visa・MasterCard・American Express・Discovery・JCBのPCI-DSS(PCIデータセキュリティ基準)です。
Q. Webスキャナーは日本の官公庁でも導入されていますか?
OEM元の三和コムテック「SCT SECURE」は、警察機関や、大学などに導入されています。また米国では、海兵隊や政府機関でも導入されています。
Q. Webスキャナーによる「脆弱性診断」によってネットワークに悪影響が及ぶことはありますか?
はい、ありません。極めて低い帯域(約8 - 240 kbps)で、レスポンス状況を見てリクエスト頻度の調整を自動的に行なう為、通常のサイト運用に影響を与えません。

機能・運用について

Q. スキャニングはどこから、どのように行うのですか?
スキャンはリモートから毎日(WebスキャナーLightでは毎月)自動的に開始されます。
スキャン元のIPは以下の通りとなっています。
50.112.117.210
50.18.47.202
54.238.58.132
54.238.58.170
54.248.232.132
54.250.120.153
54.248.225.50
54.250.121.28
54.250.126.99
219.101.136.130
Q. サイト脆弱性を診断するための情報は、どうやって収集しているのですか?
最新のセキュリティデータを、世界中の数百の脆弱性ソースから収集しています。
例)Microsoft, Redhat, CERT, Bugtraq, CVEなど。
Q. どんなリポートをしてくれるのですか?
脆弱性の危険度レベル、概要、解決方法、パッチのダウンロードサイトへのリンク情報、追加の詳細情報などをお知らせします。またスキャン毎の検知された脆弱性の差異を確認したり、スキャン結果の履歴も見ることができます。
※WebスキャナーLightでは、脆弱性の有無と検出された脆弱性の危険度レベルと概要のみレポートします。
Q. 脆弱性が見つかった時、対処法はアドバイスしてくれるのですか?
解決方法をご案内しておりますので、通常はお客様ご自身にて対応していただける内容です。詳細情報へのリンク先もご案内しております。また、追加でサポートが必要な場合はヘルプデスク窓口を御利用いただけます。
※WebスキャナーLightでは、脆弱性の有無と検出された脆弱性の危険度レベルと概要のみレポートします。解決方法のご案内や詳細情報が必要な場合は、Webスキャナーへのアップグレードをご検討ください。
Q. 毎日(毎月)スキャンする必要があるのですか?
新しい攻撃の手法は、毎日増加しています。Webスキャナーは世界中から最新の脆弱性情報を収集し、全てのサーバーに対して、毎日スキャンを実行します。最新の攻撃に対応することで、情報漏えいの危険性を未然に防ぐことができます。
Q. Webスキャナーを運用するにあたって、何か追加作業は発生しますか?
特に追加作業は発生しません。むしろWebスキャナーは時間の節約となります。毎日たくさんの新しい脆弱性が報告される中で、御社のシステムに該当する欠陥を自動で検査し、パッチを適用するための情報を提供します。SCT SECUREはシステム担当者の負担を大きく減らすことができます。また、Webスキャナーの設定はアカウント画面上で実装でき、操作も非常にわかりやすく簡単です。特別な専門的技術やトレーニングは必要ありません。
Q. Webサーバーが第三者機関の管理するデータセンターにあります。そのような場合にもWebスキャナーを利用することができますか?
お客様のシステムが、外部のデータセンターやサービスプロバイダーの設備環境内で稼動している場合でも、Webスキャナーをご利用いただくことは可能です。
但し、この場合には次のことが必要になります。
お客様からご利用中のデータセンターやサービスプロバイダーにWebスキャナーを利用することをご連絡ください。データセンターやサービスプロバイダーへの連絡方法についてはこちらをご参照ください。
※お客様がデータセンターやサービスプロバイダーから、該当するネットワーク及びシステムがWebスキャナーによるアクセス、診断を受けることへの承諾を得てください。Webスキャナーの診断をデータセンターやサービスプロバイダー等のシステムの所有者、管理者に無断で行うことで、不正アクセス禁止法に抵触する可能性がございます。ネットワーク及びWebサーバー等のシステムをお客様が自社内で使用されている場合には、お客様自身の承諾のみでご利用いただけます。
Q. 侵入検知システムや侵入防止システムを利用していますが、何か事前に準備する必要はありますか?
数千項目以上の診断を行うため、ほとんどの侵入検知システム(IDS)、侵入防止システムが作動することが予測されます。そうなると正常な診断が実施できない可能性がございますので、スキャン元IPアドレスからのアクセスを予め許可する設定にしていただくことが必要となります。
スキャン元のIPは以下の通りとなっています。
50.112.117.210
50.18.47.202
54.238.58.132
54.238.58.170
54.248.232.132
54.250.120.153
54.248.225.50
54.250.121.28
54.250.126.99
219.101.136.130
Q. Web アプリケーションの各入力フィールドの項目については診断しますか?
Webスキャナーでは、基本的にスキャンで発見した全てのフォームを自動的に診断します。また、診断対象外として特定のURLを指定することができます。
Q. Webスキャナーを実施したサイトでは、Visaのセキュリティーテストを免除されるのですか?
WebスキャナーはVisa/MasterCard/JCBが義務づけているセキュリティー基準(PCI-DSS)のスキャン認定ベンダーの提供する診断エンジンを使用しています。Webスキャナーの検査により、PCI基準にコンプライアンスできているか確認することができますが、各ブランド・アクワイアラーに対してPCIコンプライアンス証明書を発行するためには、別途サービスが必要となります。

お見積もり・導入相談

Q. Webスキャナーの導入検討にあたって来社説明してもらうことは可能ですか?
首都圏の場合、ご訪問することが可能です。お問い合わせより弊社担当までご連絡ください。折り返し、日時などの調整をさせていただきます。首都圏以外の場合、お電話にてサービスのご説明をさせていただき、状況によってはご訪問もおうけいたします。まずは、[お見積もり・導入相談等のご依頼]フォームより、お問合せください。
Q. Webスキャナーのおおよその価格を知りたいのですが?
WebスキャナーLightはサイバートラストのEV SSL証明書をご導入の場合、無料でご利用いただくことができます。Webスキャナーは、基本構成(1 FQDN)で年額120,000円(税別)です。
Q. 見積もりが欲しい場合、どうすればいいですか?
[お見積もり・導入相談等のご依頼]フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。
Q. 購入申し込みはどうすればいいですか?オンラインで申し込めますか?
[お見積もり・導入相談等のご依頼]フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。
Q. 申し込みから実稼動までのおおよそのプロセスと期間を教えてください。
[WebスキャナーLightの場合]
[スキャン開始のお申込み]フォームより、お申込みいただいた後、2週間以内にアカウントを作成し、スキャンを開始いたします。
[Webスキャナーの場合]
お申込の後、事前チェックシートにてスキャン対象のドメイン(IP)情報を申請していただきます。
ホスティング会社にお預けの場合は、事前にスキャンする旨をご利用の事業者へご連絡する必要があります。
診断の許可をいただければ、御社専用のアカウントを作成し、スキャンを開始いたします。必要情報が揃っていれば3営業日以内に開始することができます。