FAQ
よくあるご質問
当社のセキュリティ診断サービスに関して、お客様よりよくいただくご質問をまとめました。
お見積りに関するご質問
見積りをお願いしたいのですが、見積りにはどのような情報が必要ですか?
以下の情報をお知らせください。
- サーバやFWなどのプラットホームの診断をご希望の場合には、対象機器のIP数
- Webアプリケーションの診断をご希望の場合には、対象サイトの動的ページの画面数
- 診断対象の環境は、外部公開のシステムか、内部向けのシステムか?
- 診断をご希望する日時、時間帯(土日祝日や夜間は追加料金が発生します)
対象数がご不明の場合には、当社の方で診断対象のご選定やご提案もできますのでお気軽にご相談ください。
開発途中のシステムなのですが、この場合でも見積り可能ですか?
診断対象数がお決まりであればお見積可能です。
開発途中などにより外部公開していない場合でも、ヒアリングや画面遷移図などをご用意いただければお見積りをご提出いたします。
お見積りにはどのくらい時間がかかりますか?
概ね2~3日程度でお見積をご回答いたします。
開発途中などにより外部公開していない場合でも、ヒアリングや画面遷移図などをご用意いただければお見積りをご提出いたします。
診断サービスに関するご質問(全般)
外部からアクセスできない環境に対して診断は可能ですか?
オンサイト診断も承っております。
当社の診断技術者がお伺いし、診断対象にアクセスできるネットワーク環境に接続し診断を実施いたします。(ご訪問先が首都圏以外の場合には、別途交通費がかかります。)
診断を行っている最中は、どの程度のシステム負荷がかかりますか?
通常運用時よりは負荷が上がることはご了承ください。
セキュリティ診断ツールによる擬似的な攻撃を行うため、一時的にアクセスが増え対象機器に負荷がかかりますが、当社では、診断実施時のネットワーク負荷増大による影響を抑えるために、ネットワークトラフィック量をモニタリングしながら診断しております。状況により適宜通信量を調整し、お客様の業務に影響が出ないよう配慮しております。クリティカルなシステムの場合には、検証環境をご用意いただき、そちらに対し診断を行うことを推奨いたします。
診断にはどのくらい時間がかかりますか?
対象数10に対し1日程度を目安でお考えください。
基本的に対象数がサーバ診断の場合10IP、Webアプリケーション診断の場合10画面で、1日程度の作業時間を頂いております。また、1日の基本作業時間帯は10:00~17:00となっております。
診断中に脆弱性が見つかった場合には、すぐに教えてもらえるのでしょうか?
高危険度の脆弱性は当日中に速報レポートをご提出いたします。
危険度が高い脆弱性が発見された場合は、速報レポートとして当日中にご連絡いたします。可能な限り対策方法も含めてご報告させていただきます。
診断後の報告書はどのくらいの期間で提出されますか?
基本的に1週間程度とお考えください。
診断対象のボリュームによって変わってきますが、10IP(10画面)の場合、診断終了後、1週間程度見てください。お急ぎの場合には、ご相談ください。※サーバ診断エクスプレスの場合には、診断終了後原則3営業日以内に電子メールにてご提出いたします。対象数が50IPを超える場合には、最短でご提出できる日を別途ご連絡させていただきます。
脆弱性の対策をしましたが、再チェックは行ってもらえますか?
別途有償にて承っております。
診断で発見された脆弱性が正しく改善されているかを診断技術者の目線で再度チェックさせていただくフォローアップ診断をオプションサービスとしてご用意しております。診断終了後でもご依頼可能なサービスです。
サーバ診断エクスプレスに関するご質問
報告書はどのような内容ですか?
日本語のわかりやすい報告書となっております。
安価なサービスですがセキュリティ診断ツールの出力レポートをそのまま出すのではなく、経験豊富な当社アナリストが書き下ろしております。報告書にはOS推測や開放ポートなどの基本情報に加え、総合評価、検出された脆弱性一覧、脆弱性毎の解説・リスク・対応策などが書かれており、現状の把握と今後の対策が取りやすい構成となっています。
「サーバ診断」との違いは?
「サーバ診断エクスプレス」と「サーバ診断」の違いは次のとおりです。
- 事前説明会と報告会は別途オプション扱いとなります
- 診断対象はインターネット経由で診断が可能な外部公開サーバとなります
- 手動調査の範囲などに一部限りがありますコストを抑えつつも網羅的に調査を実施し、素早く結果が知りたいケースに最適です。
現在、同じような診断を他社にお願いしているのですが、違いはありますか?
ツールや手法の差により新たな脆弱性が発覚することもあります。
サービス提供事業者により使用している診断ツールや手法が異なるため、 これまで見つからなかった脆弱性が発見されることもあります。
Webアプリケーション診断に関するご質問
Webアプリケーション診断の動的ページの数え方はどうなっていますか?
「サーバとの通信が発生する操作」を1つの診断対象としてカウントします。
対象としたい画面がある場合、「その画面を開いたとき」の処理が対象となります。例えば静的なHTMLで組まれた入力フォームがあった場合、送信などボタンを押した後の画面が対象となります。一つの画面上に複数のボタンなどがあるページの場合、それぞれのボタンを押した後の画面が対象となり、個別にカウントされます。
クライアント上で動作するJavaScriptは対象となりますか?
サーバとの通信が発生しないアクションは、対象外としております。
事前説明会と報告会は別途オプション扱いとなります
診断対象はインターネット経由で診断が可能な外部公開サーバとなります
画面上にボタンなどがある場合でも、その操作をした際にローカル動作のJavaScriptだけで処理が行われ、Webサーバとの通信が全く発生しないようなアクションについてはセキュリティ上のリスクが想定できないため、基本的には診断対象外としております。
AWSなどのクラウドサービスを利用した仮想サーバに対してセキュリティ診断はできますか?
仮想サーバでも外部公開しているサーバであればセキュリティ診断は可能です。
AWS(Amazon Web Service)やMicrosoft Azureなどのクラウドサービスのサーバも診断の実績がございます。業者により事前の申請が必要になることがありますので、セキュリティ診断実施前にサービス提供ベンダーに申請の要否や申請手順をご確認ください。
Web-APIに対するセキュリティ診断は可能ですか?
セキュリティ診断は可能です。
Web-APIにつきましてもセキュリティ診断は可能ですが、単体ですとどのような挙動が正常なものか判断つきにくいため、対象のWeb-APIを呼び出すサンプルページなどをお客様の方であらかじめご用意いただいております。
当社に関するご質問
セキュリティ診断の実績はどの程度ありますか?
15年以上の実績と500団体以上の診断実績があります。
2000年のサービス開始以来、金融機関のオンラインバンキングや各種ECサイトのWebアプリケーション診断や、サーバ診断、ファイアウォールやIDSの有効性診断など、民間企業から中央官庁、地方自治体を対象に500団体を超える多くの実績があります。豊富な経験に基づいた分かりやすい報告書は、脆弱性の結果だけの報告にとどまらず、改善のために具体的にどうすればいいのかまで丁寧に記載しており、多くのお客様にご好評をいただいております。また当社は、経済産業省の「情報セキュリティ監査企業台帳」に登録されております。
システムに対するセキュリティ診断以外のサービス提供は行っていますか?
情報セキュリティに関することであれば何でもご相談ください。
当社では、お客様の実質的な情報セキュリティ対策向上を実現するために、技術的なサービス提供のみならず、ISO27001認証取得支援や、情報セキュリティポリシーの構築・運用支援にかかるサービスなども提供しております。ご不明点はご相談がありましたら、お気軽にお問い合わせください。