よくあるご質問（Webサイト脆弱性診断編）

皆様のセキュリティ強化や、サービス検討の一助にお役立てください。

脆弱性とはプログラムの不備や設定の不備等に起因する、システムが攻撃される隙になります。放置していると情報漏洩やシステムの停止などのリスクがあります。

脆弱性や診断サービスに関しては、過去のコラムもご覧ください。

セキュリティコラム（第１回） ： 脆弱性診断の必要性

脆弱性を放置していると、攻撃者にシステムの利用ユーザーの情報などの重要な情報を窃取されるなど、リスクを抱えることになります。そのため、脆弱性診断では脆弱性を洗い出し、対策をとるために必要となります。

新規システムの場合リリース前に診断を実施し、脆弱性の対策を行ってからリリースすることを推奨しています。また、プログラムの改修や設定の変更などを行った直後にも診断を受け、脆弱性について対策をとることもセキュリティ対策として有効なため推奨しています。

脆弱性の情報は日々更新されており、診断項目もそれに伴い変更されることがあります。そのため、弊社では半年に1回など、定期的に診断を受けることを推奨しています。

構築はベンダーでも運用保守をお客様でしている場合は、診断が必要です。また、運用も構築ベンダーが行っている場合も、お客様の信用にかかわる部分になりますので、構築ベンダーと相談の上、検討をして頂ければと思います。

その場合は大丈夫です、必要ありません。

企業案内だけのホームページでも、WEBサーバーに侵入できるような脆弱性が存在する可能性があるため脆弱性診断は必要です。

大きく分けるとツールによるスキャンを実施するベンダーと手動で診断を実施し検証するベンダーがあります。前者はツールによって検出可能な脆弱性のみ報告するため、価格が安く、後者は前者の内容に加え、サイトの仕様などツールによる診断だけでは見つからない脆弱性が検出できる分、価格が高い傾向にあります。

当社のサービスは後者に当たります。ツールと経験豊富な診断員による手動の検証により、早く効果的に診断を実施します。

近年では様々な攻撃が施行されており、サイトの仕様に合わせた診断を実施することを推奨します。

改修の優先順位を判断する基準になる重要度や危険性がレポートされますので、それに基づいて問題となった個所の改修・修正を行いましょう。

弊社がご提供する脆弱性診断の結果レポートには対策方法まで記載があります。こちらの対策方法をご参考にシステムの改修をしていただくことができます。

脆弱性の情報は日々更新されており、診断項目もそれに伴い変更されることがあります。そのため、弊社では四半期ごとや半年に1回など、定期的に診断を受けることを推奨しています。

またプログラムの改修や設定の変更などを行った際も本番リリース前やリリース直後に診断を受け、改修に伴い新たな脆弱性が発生していないか確認することもセキュリティ対策として有効なため推奨しています。

お客様から良くお問い合わせ頂く内容をまとめてみましたが、いかがでしたでしょうか。

「もっとこんな事を知りたいなぁ」「うちのホームページだと具体的にいくら位掛かるのかな？」など、個別にご質問がありましたらお問い合わせください。