よくあるご質問|FAQ

目次

サービス全般に関するご質問

Proactive Defenseとは、どのようなサービスでしょうか

Proactive Defense(プロアクティブディフェンス)とは、株式会社神戸デジタル・ラボが提供する情報セキュリティソリューションサービス全体の名称です。大きくは「デジタルフォレンジック&インシデントレスポンス」「コンサルティング」「脆弱性診断」「トレーニング」「プロダクト」から構成され、情報資産を保有する企業が抱える様々な課題を解決するためのサービスを、総合的にご提供します。

詳しくは、「サービス紹介」をご覧ください。

デジタルフォレンジック&インシデントレスポンスに関するご質問

どのようなサービスでしょうか

被害を受けたシステムを解析し、発生したインシデントの対応支援や調査を行うサービスです。調査範囲としてはパソコン、サーバ、各種ログ等が可能で、情報漏えいの有無、事故発生原因の特定、内部不正などに関する調査を行います。

費用はどのくらいかかりますか

1週間200万円(調査員2名)からとなりますが、調査対象のデータによっても費用が増減する可能性があるため、詳細はお問い合せください。

レンタルサーバ(非管理者権限)環境の場合でも、調査可能でしょうか

調査可能ですが、サーバ会社様から開示いただける情報が限られるため、調査範囲が限定されます。

クラウドサーバやVPS環境の場合でも、調査可能でしょうか

調査可能です。

どのように調査を行うのでしょうか

ハードディスクおよびメモリデータを保全し、保全したデータをもとに調査します。

日頃からログを収集しておくなど必要な準備はありますか

侵害された前後のログが事前に収集されていると、より詳細な調査が可能ですが、収集されていなくとも調査可能となる場合がございます。詳細はお問い合せください。また、ログ収集についてのご要望についても対応が可能ですので、ご相談ください

コンサルティングに関する質問

コンサルティングでは具体的にどのような相談が可能ですか

企業における情報セキュリティポリシーなどガイドラインの策定、インシデント発生時に備えた体制づくりのサポート、社内システムのリスクを見える化し対策をご提案するリスク分析、などが可能です。コンサルタントが現状をヒアリングし、ドキュメント類を作成し納品いたします。

ドキュメント類の納品までどのくらいの期間が必要でしょうか

3か月程度を要する場合が多いです。現状把握のためのヒアリング、作成、お客様によるチェック、修正といった流れでドキュメント類を作成しますので、数か月必要となります。

担当窓口は誰がすればよいでしょうか

リスク分析の場合は、各システム全体を把握しているご担当者様にヒアリングをさせていただきます。ポリシー策定の場合は全社的な取り組み、体制作りが必要となりますのでシステム部門のみならず経営陣もご参加いただくことが望ましいです。

グループ企業など関連会社を含めた支援は可能でしょうか

可能です。最初にアンケートを実施し、リスクの高いグループ企業から優先対応することもできますし、全グループ企業を順番に対応することも可能です。

脆弱性診断に関するご質問

診断実施までの流れを教えてください

お見積、ご契約完了後、事前調整を実施のうえ、診断開始となります。事前調整では診断時期のご相談、お客様環境の確認等をさせていただきます。事前調整時に弊社より共有する事前チェックシートに、診断時の注意事項を記載しておりますので内容をご確認いただくとともに、ヒアリング事項についてご記入、ご提出いただきます。

診断における疑似攻撃とはどのようなものでしょうか

診断するための専用ツールを使用し、実際の攻撃手法をシミュレートします。

診断作業時間を教えてください

診断作業時間は月~金曜日10時から17時まで (「国民の祝日に関する法律」に定める休日、年末年始および弊社規定休日を除く)とさせて頂きます。

夜間および休日対応は可能でしょうか

オプションにて対応可能です。

オンサイト対応は可能でしょうか

オプションにて対応可能です。

診断した結果、問題が見つかった場合はどうすればよいでしょうか

診断後にお渡しする報告書に対策方法を記載しておりますので、そちらをもとに担当部門にてご対応ください。なお、問題についてはレベル分けして報告いたしますので、レベルが高いものから優先対応いただくことが可能です。

定期的に診断を行うべきでしょうか

脆弱性診断は診断時点での脆弱性の有無をチェックするものとなりますので、定期的に診断実施されることを推奨しております。また、診断後に仕様変更を行った場合は、変更箇所における診断が再度必要です。なお、新たな脆弱性が次々と発見されているため、仕様変更をされていない場合であっても、安全性を永久保証できる性質のものではございません。

Webアプリケーション脆弱性診断

Webセキュリティ診断とはどのようなものでしょうか

お客様のWebサイトで使用されているWebアプリケーションについて、脆弱性診断を行います。Webアプリケーションのセキュリティ状態を把握し脆弱性の対処を行うことで、Webサイトの改ざん・情報漏えい・他人になりすましてのアクセス・サービス妨害等のリスクを最小限にするサービスです。

お見積にあたって、どのような情報が必要でしょうか

診断対象サイトへのアクセス情報をお知らせください。別途スマホサイトがあり診断対象とする場合は、スマホサイトへのアクセス情報もお知らせください。
診断プラン、オプション(報告会および再診断)有無についてもお決まりの場合は、あわせてご連絡お願いします。
 ※お見積をご確認いただいた後で、ご決定いただくということでも問題ございません。

どのようにお見積していますか

弊社より対象システムへアクセスし、動的な機能がどのくらいあるかを確認の上、お見積および診断必要期間をご案内しております。

開発中のサイトやイントラサイト等、外部からアクセスができないWebサイトでもお見積可能でしょうか

機能一覧や画面一覧などWebサイトの持つ動的機能がひととおりわかる資料をご提示いただき、資料ベースで概算見積させていただくことも可能です。
※ただし資料と実際のサイトに相違がある場合は、契約内容のご相談をさせていただく場合がございます。

1機能の定義を教えてください

1機能=3リクエスト程度とお考えください。
具体例としては、入力→確認→完了画面と遷移するシンプルなフォームで1機能とカウントしております。

経産省基準とIPA基準はどちらの診断プランを選べばよいでしょうか

経産省基準とIPA基準で、実施する診断項目に違いがあります。経産省基準は31項目、IPA基準は22項目を診断します。項目数の多い経産省基準を推奨しておりますが、IPA基準でも「安全なWebサイトの作り方」の対象を網羅しているため、ご予算との兼ね合いでご判断ください。

速報とはどのようなものでしょうか

診断中に早急な対応が必要と思われる問題が発見された場合、報告書納品を待っての対策では手遅れになる可能性もございます。そのため診断期間中に発見された重要度の高い脆弱性をいち早くお知らせするものとなります。弊社のWebアプリケーション脆弱性診断サービスでは、最も危険度の高いレベル1の問題が見つかった場合、速報を標準プランにてご提供しております。

本番環境でも診断できますか

診断では、診断用の特殊なリクエストを大量に送信する必要があります。その影響でWebサーバを含めて、動作の遅延や予期せぬ動作が発生する可能性があることをご承知おきください。
※本番環境への診断を実施する場合の注意点については、診断前のチェックシートにて改めてご連絡させていただきます。

検証環境でも診断できますか

疑似攻撃を行うため、検証環境での診断を推奨しております。診断前に本番環境と検証環境が同一となるよう同期をお願い致します。

診断前に実施すべきことはありますか

検証環境で診断を実施する場合は、診断前に本番環境と検証環境が同一となるよう同期をお願い致します。
本番環境で診断を実施する場合は、事前に必ずバックアップ取得いただき、万が一の際に戻せるようご準備ください。

診断中にサイト更新作業を行うことは可能でしょうか

テキストや画像など静的コンテンツの変更程度は問題ございませんが、ファイル更新などは避けていただきたいです。更新の際は診断担当と連携してください。

個人情報を取り扱っていないようなサイトでも診断は実施するべきでしょうか

「情報漏えい」以外にも、脆弱性による被害は多々ございます。他のサーバへの侵入の踏み台にされたり、フィッシング詐欺に利用されたりすることで第三者に被害を及ぼす可能性や、マイニングに利用されてしまうなどの被害がございますので診断は必要となります。

WordPressなどのCMSで作成しているが、診断は実施するべきでしょうか

CMSで構築されていたとしても、ユーザーが閲覧する画面は一般的なHTML+CSSで構築されたWebサイトと同様であるため、セキュリティ診断が必要となります。

WAFを導入していますが、脆弱性診断は可能でしょうか

診断用の通信がWAFにより、ブロックされてしまう可能性がございます。これにより、本来存在する脆弱性を診断で見つけられない場合がありますので、弊社IPアドレスを除外対象として登録し弊社からのアクセスを許可ください。あるいはWAFによる防御が有効な状態での診断を実施することも可能です。

WAFなどセキュリティ製品を導入していても診断は実施するべきでしょうか

セキュリティ対策製品を導入していても、製品を回避するような攻撃が行われるなど必ず防御できるとは限りません。セキュリティは多重防御といわれる通り各種対策を組み合わせることが望ましく、診断の必要があります。

ツール診断とマニュアル診断の違いについて教えてください

ツール診断は、市販されている自動診断ツールやASPサービスなどを利⽤し、診断作業をツールが⾏います。診断員がシナリオを組んだり目視検査を⾏うこともありますが、基本的にはツール検証結果に準じたサービスとなります。
マニュアル診断はプロの検査員が手動診断ツールを使い、診断箇所の特定・レスポンスの検証・証跡取りなど全て手動で⾏います。Webサイトの特性に合わせた精度の⾼い結果を得る為の診断サービスとなります。Webアプリケーション脆弱性診断サービスは、マニュアル診断にて実施しております。

スマートフォンアプリケーション脆弱性診断

お見積にあたって、どのような情報が必要でしょうか

業種、アプリ概要、個人情報・カード情報の有無、機能一覧・画面遷移図等のアプリの持つ機能がひととおりわかる資料、アプリデータ(apk、ipa)の提供可否、をお知らせください。
診断プラン、オプション(報告会および再診断)有無についてもお決まりの場合は、あわせてご連絡お願いします。
※お見積をご確認いただいた後で、ご決定いただくということでも問題ございません。

WebAPI診断

お見積にあたって、どのような情報が必要でしょうか

診断対象APIの本数をお知らせください。
オプション(報告会および再診断)有無についてもお決まりの場合は、あわせてご連絡お願いします。
 ※お見積をご確認いただいた後で、ご決定いただくということでも問題ございません。

プラットフォーム脆弱性診断

お見積にあたって、どのような情報が必要でしょうか

IP数、サーバ台数、OSの種類、をお知らせください。
診断プラン、オプション(報告会および再診断)有無についてもお決まりの場合は、あわせてご連絡お願いします。
※お見積をご確認いただいた後で、ご決定いただくということでも問題ございません。

ブラックボックス診断とホワイトボックス診断はどちらを選べばよいでしょうか

ブラックボックス診断では、インターネットまたはLAN内の特定セグメントより、ネットワーク経由で把握できるプラットフォームの脆弱性や設定の問題有無を調査します。
ホワイトボックス診断では、サーバに管理者権限でログインして診断します。サーバの内部から診断を実施するため、ブラックボックス診断では確認できない脆弱性を網羅的に調査できます。網羅的な調査を希望される場合は、ホワイトボックス診断をご選択ください。

どのサーバを診断対象とするべきでしょうか

基本的な考え方として、外部からアクセス可能なサーバを優先して診断対象とすることをお勧めします。ただし、内部からしかアクセスできないサーバであっても脆弱性が存在する場合、内部犯や境界防御を超えて侵入した外部の攻撃者により脆弱性を悪用されるケースがあります。そのため、機微情報が保管されている場合や侵害された際に他のクライアントおよびサーバに対して影響度が大きいなどの重要なサーバについては、内部からしかアクセスできない場合でも診断対象とすることをご検討ください。

同じ設定のサーバが複数台存在する場合、すべてのサーバを診断対象とするべきでしょうか

1台のみ診断対象とし、問題が見つかった場合は診断報告書に記載されている対策を診断未実施のサーバについても対応いただく、ということでも問題ございません。

診断の際に必要な設定はありますか

ホワイトボックス診断でVPN又はプロキシ・踏み台サーバを経由した診断をご希望の場合、弊社のIPアドレスよりインターネット経由で直接アクセスできるようなネットワーク設定へ変更ください。やむを得ずVPN又はプロキシ・踏み台サーバを経由した診断をご希望される場合は、以下の点についてご了承ください。
・弊社で使用している診断ツールの都合上、正常な診断結果を得られない可能性があります。
・ネットワークの設定変更を伴う事前調整をさせて頂く必要があるため、通常よりも事前準備にお時間を頂く
可能性があります。

ネットワーク機器への診断は可能でしょうか

ポートスキャンのみ可能です。TCP及びUDPに対してポートスキャンを実施し、運用目的に合致しないポートが開放されていないか、という確認のみ可能です。

AWS環境での診断は可能でしょうか

AWSの侵入テストのカスタマーサービスポリシーで許可されたサービスについて診断可能です。

クラウドセキュリティ設定診断

プラットフォーム診断との違いを教えてください

プラットフォーム診断はサーバのミドルウェアやポートの開閉状況に関する診断ですが、クラウドセキュリティ設定診断はIAMのアクセス管理やS3バケットが暗号化されているかなど、アーキテクチャに依存しない、クラウドにおける基本的なセキュリティ設定に関する診断ですので、診断対象のレイヤーが異なります。

SecurityHubを利用する場合と、クラウドセキュリティ設定診断との違いを教えてください

SecurityHubを用いた自動診断に加え、診断項目によって弊社エンジニアによる手動診断も実施しています。また画面上での結果確認だけでなく、チェック内容から対策までトータルに分かりやすく弊社にてまとめたレポートをご提供しております。

クラウドセキュリティ設定診断を実施すべきタイミングを教えてください

環境構築時リリース前の診断に加え、リソースの追加・変更時、ユーザーの増減時、権限設定の変更時など、環境に変更が生じた際は診断実施いただくことを推奨いたします。

公開画面調査

どのような情報を提示する必要がありますか

対象となるドメインやIPアドレスのレンジリストをご提出いただく必要があります。

どのような環境でも調査可能でしょうか

外部から直接アクセス出来るネットワークを有しており、弊社からの通信がファイアーウォール等でブロックされなければ調査可能です。

データ取得できないようなケースはありますか

調査対象は稼働中の端末に限られます。調査に際してシャットダウンなどを行われているとデータを取得できません​。

公開管理画面調査の実施における付帯事項​はありますか

調査のための通信が流れますので、環境によっては監視のアラートが多く通知されることがあります​。

調査期間はどの程度必要でしょうか

ネットワークの規模、構成によって調査期間が変動しますが、事前準備からレポート提出まで2~3か月要するケースが多いです。

トレーニングに関するご質問

標的型攻撃メール訓練

標的型攻撃メールとはどのようなものでしょうか

金銭や知的財産等の重要情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃です。従来のフィッシングメールよりも、標的対象の興味や関連事項に特化した内容にカスタマイズされており巧妙化しています。

お見積にあたって、どのような情報が必要でしょうか

ご希望の訓練回数(1回~4回)とメールのアカウント数をお知らせください。
また報告会などのオプションがございます、オプション詳細については、別途お問合せください。

英語対応は可能でしょうか

大変申し訳ございませんが、対応不可となります。

どのような訓練内容で実施すればよいでしょうか

お客様の業務内容に応じて、実際に受信するものに近しい内容で実施いただくことを推奨しております。弊社のメール訓練ではメール文面などのコンテンツ類のサンプルをお渡しますので、サンプルをベースにカスタマイズして内容決定いただきます。

どのような環境でも訓練実施できますか

メールは受信できてもインターネットアクセスには制限がある、というような訓練環境の場合、ファイアウォールルール等を一時的に変更し弊社サーバにアクセス可能な状態にしていただく必要がございます。正しい結果の集計や教育コンテンツ提示のために弊社サーバへのアクセスは必須となります。

プロダクトに関するご質問

WAF以外にもプロダクト導入は必要でしょうか

WAFはWebアプリケーションを対象としたものであり、サーバやネットワークは含みません。プロダクトによってカバーできる範囲が異なるため、保護対象ごとにプロダクトやセキュリティ対策を併用し、多重防御いただくことを推奨します。

プロダクト導入時のサポートはありますか

プロダクトによって導入支援やQAサービスの提供がございます。詳細はお問い合せください。

目次