診断前のご質問

Proactive Defenseってどんなサービス？

Proactive Defenseとは、神戸デジタル・ラボが提供するセキュリティソリューションサービス全体の名称です。大きくは「コンサルティング」「セキュリティ診断」「支援・対策」「教育」から構成され、Webサイトを運営する企業が抱える問題点を解決するために提供するトータルサービスです。

詳しくは、「ウェブアプリケーション脆弱性への4つのサービス」をご覧ください。

Webセキュリティ診断って何？

お客様のWebサイトで使用されているWebアプリケーションについて、脆弱性診断を行います。 Webアプリケーションのセキュリティ状態を把握し、脆弱性の対処を進めることで、Weｂサイトの改ざん・情報漏えい・他人になりすましてのアクセス・サービス妨害等のリスクを最小限にするサービスです。

詳しくは、「Webアプリケーションセキュリティ診断」をご覧ください。

ソースコード診断ってどんなことするの？

通常のWebセキュリティ診断では、ツールによる診断を行います。
ところが、ツールで表面上をチェックするだけでは見つからない脆弱性があります。
ソースコード診断とは、【プロの目】により、プログラムを解析し、脆弱性を見つけていくものです。

診断にはどれくらい時間がかかりますか？

診断結果はお申し込み頂いてから最短1～２週間程度でご報告が可能です。
※サイトのボリューム、作業状況によっては１ヶ月ほどかかる場合もございます。

費用はどれくらい？高くないの？

Proactive Defenseでは、今までにない料金体系で、お客様にあわせたお見積りが可能です。他社と比べても充実のサービスを、格安で自信を持ってご提供いたします。

何でこの価格でできるの？

Proactive Defenseの低価格には裏づけられる秘密があります。
決して品質を落としたり、手を抜いているわけではございません。

経済産業省のセキュリティガイドラインって何？

平成18年6月15日に経済産業省より「情報システムの信頼性向上に関するガイドライン」が公表されました。
これは、情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的としたもので、情報システムの企画・開発から保守・運営にわたり関係者が遵守すべき又は、遵守することが望ましい事項を定めています。

ガイドラインに沿って作ることでどんなメリットがあるんですか？

ガイドラインに沿って契約・診断するメリットは、ユーザ・ベンダーによって異なりますが、セキュリティの基準が明らかになる・追加コストがかからない・責任の所在が明らかになるなど、ほかにも多くのメリットがございます。

GIACってどんな資格なの？

Security Essentials、セキュリティ監査、侵入検知、インシデント・ハンドリング（セキュリティ危機管理）、ファイアーウォール、フォレンジック、Windows OS、Unix OSなど、入門レベルから高度な専門性を要求される分野までカバーする資格です。
有資格者の中には、ペンタゴンを守る方も！

定期的にチェックしたいんだけど、相談はできるの？

Webセキュリティ診断は本来定期的に行うべきサービスです。
企業様ごとに個別対応をさせて頂きます。

診断中のご質問

疑似攻撃って何をするんですか？

Webアプリケーションを診断するための専用ツールを使用し、実際の攻撃手法をシミュレートします。
実際に攻撃される場合に限りなく近い攻撃を行うため、実際に起こりえるリスクを正確に把握することができます。

速報ってなんですか？

診断中に早急な対応が必要と思われる問題が発見された場合、報告書の完成を待ってからでは対策が手遅れになる可能性もあります。
よって、速報とは診断期間中に発見された重要度の高い脆弱性をいち早くお知らせするものとなります。

診断後のご質問

診断した結果、問題が見つかった場合はどうしたらいいですか？

診断後にお渡しする報告書をWebサイトのシステムを開発された部署または、業者様にお渡しいただき、対策をご依頼ください。対策を実施される方がいらっしゃらない様でしたら、神戸デジタル・ラボにて最終作業をお引き受けすることも可能です。
診断とは別途作業となりますので、詳細はお問合せください。

アフターフォローってあるんですか？

アフターフォローとして、定期的な診断の実施、攻撃ログの収集、WAFによる攻撃の遮断などを実施しています。
ご要望に応じたセキュリティ保守をトータルにケアしていきます。

Webセキュリティ全般について

会社のWebサーバでは個人情報を扱っていません。診断の必要ってあるの？

「情報漏えい」以外にも、危険はたくさんあります。他のサーバへの侵入の踏み台にされたり、フィッシング詐欺に利用されたりすることで、第三者に被害を及ぼす可能性があります。その結果、賠償金の問題だけではなく「会社の信用」を失ってしまいます。

それほど会社規模が大きくないウチなんか、狙われないのでは?

会社の規模で侵入のターゲットにされるわけではありません。
脆弱性のあるサイトを自動的に検知するツールが存在します。どんな会社で、サイト運営者が誰であるかは関係なく、悪用されたり、攻撃対象とされたりする可能性があります。

Webサイトはホスティング会社に任せてるから安心でしょ？

いいえ。ホスティング業者は、WebサイトのコンテンツをのせているWebサーバを、管理・運用しているだけです。
ネットワークやOSのセキュリティはホスティング業者が面倒を見てくれますが、あなたの会社自身で開発したWebアプリケーションは、あなたの会社がアプリケーション開発段階で対策する必要・責任があります。

付き合ってるベンダーにセキュリティは頼んであるから安心でしょ？

いいえ。その対策は、ファイアウォールやアンチウィルス等の対策ではありませんか？
それらと、Webアプリケーションのセキュリティ対策は全くの別物です。一度、Webアプリケーションのセキュリティ対策が実施されているか、確認されることをお勧めします。

また、Webアプリケーションの対策が実施されていたとしても、診断は第三者が実施することに意味がありますので、Webアプリケーションを開発したベンダー以外に診断を任せることをお勧めします。

Webサイトにパスワードを設定していますが、それで十分じゃないの？

はい、その通りです。
Webアプリケーションに脆弱性がある場合、パスワードに特殊な文字列を入れれば、パスワードを知らなくてもログインできてしまう可能性があります。

Webサイトに関連した事件はどれくらい発生してるんですか？

IPAが発表した「ソフトウェア等の脆弱性関連情報に関する届出状況」では、下記のグラフの通りの届出件数があります。
しかし、届け出されていないもの、発見されていないものを含めると、実際にはこの数倍の事件が存在すると思われます。

Webサイトの脆弱性ってどういうものがあるの？

Webサイトの脆弱性には多種多様なものがあり、全てを把握することは難しいですが、IPAに届け出された下記のグラフを見ることで、主要なWebサイトの脆弱性を知ることができます。
これらの「狙われやすい」Webサイトの脆弱性を優先的に対応するのが、セキュリティ対策を実施するうえで効果的です。

「クロスサイト・スクリプティング」って何？

利用者がWebサーバにアクセスした際に、意図しないスクリプトを実行してしまう脆弱性を「クロスサイト・スクリプティング」と呼びます。
これを利用して、攻撃者が悪意のあるスクリプトを実行させようと、サイトをまたがってスクリプトの実行を仕向けるところからクロスサイト（サイトをまたがった）スクリプティングと呼ばれるようになりました。

「SQLインジェクション」って何？

データベースに対して、Webサーバを経由して不正な操作を行う行為を指します。多くのデータベースは、SQLと呼ばれる命令言語を使用してデータの参照や登録・削除等を行います。そのSQLに攻撃者が不正なコードを忍ばせて、データベースから情報を抜き出したり改ざんしたりすることができる脆弱性を「SQLインジェクション」と呼びます。

情報漏えいを起こしたら、どれくらいの被害になるの？

情報の種類や情報量によって大幅に変わりますが、IPAの発表した資料では「SQLインジェクション」が発生した場合、以下のような被害額を推定しています。

推計される被害額について

直積的な被害額として計上される支出項目として、以下の対象などが挙げられる。

• サーバの再構築作業（OSの再インストール、各種設定等）
• Webアプリケーションの改修作業
• 第三者によるセキュリティ検査（脆弱性検査）
• セキュリティ対策システム機器（ファイアウォールやIDS等）の導入

ヒアリング対象となった社（複数社）のケースをみると、使用されていたサーバの台数（数台～数十台）・プログラム本数（数百本～数千本）であった。
これからを踏まえて、復旧作業に要したウェブアプリケーション等の改修費用・検査などの外注費およびファイアウォールなどの機器の購入費を推計すると、約4,800万円～1億円程度を要するものと考えられる。

出所）IPA「2005年 企業における情報セキュリティ事象被害額調査 報告書」