株式会社ディアイティはサイバーセキュリティとネットワークの企業

よくある質問|脆弱性診断サービス

プラットフォーム診断

Q1診断に伴いファイアウォールやIDSの設定を変更する必要はありますか?

現実的な診断結果をご希望の場合は、全ての設定を維持したまま診断を実施します。 純粋にシステムの脆弱性を確認したい場合は各種設定を変更の上、診断元をフリーアクセスとした上で診断を実施いたします。 診断形態はお客さまが求める結果によってカスタマイズする事が可能です。

Q2診断工程を教えて下さい。

ヒアリングシートのご記入→診断計画書作成→診断実施→結果報告会 全行程を約2~3週間でご提供いたします。 診断対象が10ホスト程度の場合、実際の診断作業は約1週間となります。

Q3診断による影響は?

事前に診断対象システムについて詳細なヒアリングを実施いたします。 システム構成や特徴を把握した上で診断の計画を作成しますので、サービス停止やシステムのクラッシュ等の危険はありません。

Q4Dos攻撃(サービス妨害/停止)の検証は可能ですか?

お客さまのご希望により実施する事も可能です。
尚、本テストケースはDos攻撃についての脆弱性及び耐久性を診断するもので、WEBアプリケーションのパフォーマンスを診断する負荷テストとは異なります。 WEBアプリケーションのパフォーマンス診断をご希望の場合は別途お問い合わせ下さい。

Q5報告書のフォーマットをカスタマイズする事は可能ですか?

可能です。
基本的に弊社のフォーマットで作成いたしますが、総務部・監査部様または経営者様向けの報告書をお客さまご希望のフォーマットにてご提出した実績がございます。

Q6継続的な診断を依頼する事は出来ますか?

プラットフォーム診断では以下のようなパッケージをご用意しております。

  • スポットスキャン
    脆弱性診断×1 報告会×1
  • コンプリメントスキャン
    脆弱性診断×1 対応後の診断×1 トレーニング(6日間) 報告会×1
  • サイクリックスキャン
    脆弱性診断×4 対応後の診断×1 トレーニング(6日間) 報告会×1

パッケージ以外にもお客さまのご希望に沿ったプランニングを行っています。

Q7診断後の対応作業もお願いできますか?

設定変更やパッチあてなどの実作業はサポートしておりません。
但し、診断後もメールでのサポートを継続いたしますのでご不明点をお問合せ下さい。

サーバ構成診断

Q1稼動中のサーバを診断する事は可能ですか?

可能です。 サーバ構成診断では診断対象サーバの各種ファイルのコピーやコマンドの実行結果を持ち帰り解析を行います。稼動中のシステムに影響を与える事はありません。

Q2診断期間はどのくらいですか?

サーバ数や診断項目によって変化しますが、診断対象が10ホスト程度の場合は概ね2~3週間となります。

Q3サービスパック及びパッチ適用状況・未適用パッチのリストアップとは?

インストールされているパッチとメーカよりリリースされたパッチを、システム構成による適用を有無を調査した上でリストアップいたします。
尚、現在はWindows・Solarisを完全サポートしております。 その他のOS(HP-UX・各種Linux等)はインストールパッチのリストのご提示となりますのでご了承下さい。

Q4パスワード解析について教えて下さい。

弊社作成の英語/日本語のリスト(約10万語)を用いた解析を行います。
ご要望によりブルートフォース解析を実施しますが、解析マシンのスペック(処理能力)及び解析時間数の調整を行います。
例:Intel Pentium(R)4 3GHzを用いて48時間実施など

WEBアプリケーション診断サービス

Q1診断工程を教えて下さい。

アリングシートのご記入→診断計画書作成→診断実施→結果報告会
全行程を約2~3週間でご提供いたします。 また診断実施日には必ず予備日を設定させて頂きます。

Q2動的ページとはどのようなページですか?

一般的なものではメール送信フォームやアンケート等が設置されたページを指します。 ユーザによるアクション(入力)によって表示されるページが変化するページを診断対象とします。

Q3診断対象ページはどのようにカウントすればいいですか?

例:メール送信フォームやアンケート等
フォーム入力ページ→送信内容確認ページ→送信完了ページ 上記のような構成の場合、診断対象はフォーム入力ページと送信内容確認ページの2ページとなります。 オンラインショッピングサイトやオンラインバンキングサイト等のように多くの入力ページが存在し、cookieやURLを使用してセッション管理をしている場合は診断対象が無数に存在する事になります。
このような場合はアプリケーションの仕様を詳しくお伺いしご予算の範囲内で、最も効果的な診断プランをご提示いたします。

Q4稼動中のサーバを診断する事は可能ですか?

稼動中のシステムに対してのスキャニングは推奨しておりません。
開発環境及びバックアップシステムを一時的に診断用にお借りして診断を実施いたします。 稼動中システムへの診断も技術的には可能ですが予期せぬ不具合を生じる可能性がありますのでお客さまの責任において実施させて頂きます。

Q5稼動中のシステムへの診断を推奨しないのは何故ですか?

WEBアプリケーションスキャンニング診断では実際に細工したリクエストを送信します。 その結果、以下のような副次的影響が発生する危険があるためです。

  • データベースの更新
  • 電子メールの自動発信
  • 商取引機能との連動
  • 縮退モードへの移行
  • 侵入検知システムによる誤検知

関連サービス / 製品

この製品に関するお問い合わせ

03-5634-7654電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付