FAQ

NW診断についてはIPアドレス単位でのカウントとなります。 Web診断についてはリクエスト単位でのカウントとなります。 この際、動的なサイトについては外部からリクエストを送信した場合に動的に反応する画面について、画面単位ではなくリクエスト単位でのカウントとなる点にご注意ください。 「外部から見て動的」とは、対象システムに対し、クライアントPCからリクエスト送信される「パラメータ・値」によって、システムの動作に影響する箇所のことを指します。（画面表示情報の変更やデータ登録・メール送信など） 従って、システム内部で動的生成している画面であっても、外部から一切の影響を受けない場合は、カウント対象となりません。なお、「パラメータと値」は、param=123 のような形式だけでなく、URLの末尾・パスの文字列が該当する場合もあります。 詳細についてはお問い合わせください。 詳しくは弊社 担当営業にお問い合わせください。

リモート診断は外部から、Webサービスや自社のプラットフォームがどのように見えるかをチェックする診断となります。
オンサイト診断は外部からアクセスできないシステムを含めて、システム全体の健全性をチェックする診断となります。
いずれの場合も特定のシステムの健全性をチェックする診断となるため、侵入に対する耐性を確認することを目的とする場合にはSQAT®ペネトレーションテストをご検討いただくことをお勧めします。

Webアプリケーション診断では、診断前にお客様のWebサイトにアクセスし、機能や画面遷移方法等の把握、診断対象となる動的リクエストの選定、検査手法の検討などを行うための網羅的な探査行為を実施します。このときの探査行為を「クローリング」と呼んでいます。

機能・画面・URL・パラメータ・値・アクセス時の留意事項を、リクエスト単位で事前調査し、棚卸しを実施します。規模の相互認識を合わせ、診断対象の抜け漏れを防止します。

BBsecセキュリティ脆弱性診断の工程

クローリングを実施するにあたり、クローリング開始前に、以下について
ご確認およびご準備をお願いいたします。

①当社クローリング環境からのアクセス許可
②クローリング用アカウントのご提供
③アクセスに必要な情報のご準備およびご提供
④Webサイト内に存在すべき機能の整備・データのご登録
⑤クライアント証明書やアクセストークン、Basic認証情報等のご提供
⑥クローリング対象やクローリング方法に関する特記事項のご連絡

詳細は弊社 担当営業にお問い合わせください。

可能です。ただし、クローリング結果と齟齬が出る可能性があり、あまりお勧めしません。お見積り時と大幅に異なる場合は再度調整が必要となります。あらかじめご了承ください。

診断において特定の検査を行う際に最大30万リクエスト/日程度のリクエストを送信する場合があります。ただし、実行の可否については診断の際に確認の上実施します。

Web診断のオプションとしてAPI診断のサービスをご提供しております。詳細についてはお問い合わせください。

最小で1IPからとなります。最大数については特に制限はありませんが、診断期間などについてご検討いただく必要があります。

言語一覧についてはSQAT^® Coreのページをご覧ください。ソースコードの送付方法については弊社ポータルサイトへのアップロード、メディアでの受け渡しなど複数の方法がお選びいただけます。ファイルサイズについては受け渡し方法によって異なりますので、お問い合わせください。

ハイブリッド診断はWebアプリケーションの脆弱性診断とソースコード診断を組み合わせ、外部からのブラックボックステストと内部のホワイトボックステストを同じターゲットに向けて実施する診断です。詳しくはこちらをご覧ください。

Android、iOS共に対応しております。

次のような診断メニューがあります。

【スマホアプリ診断】
スマホアプリ自体を診断します。実機を使った動的解析とAPK（Android）・IPA（iOS）ファイルの静的解析を行います。

【API診断】
スマホアプリ／サーバ間の通信を診断します。
APIサーバに対するリクエスト/レスポンスの検証および疑似攻撃による検査を行います。

Google PlayやApp Storeといったアプリストアの審査は、各ストアのガイドラインを満たしているかを審査するものであり、想定どおりに動くか、マルウェアが仕込まれていないか、といった点が中心でありセキュリティに特化した検査ではありません。

これに対し、スマホアプリ脆弱性診断では、脆弱性の有無を検査します。メール、位置情報、決済情報といった機微な情報を取り扱う上、それらを端末側で保存すること、また常時ネット接続された状態であるといったスマホアプリ独自のリスクに対するセキュリティ上の問題を洗い出すことができます。

脆弱性を突かれた攻撃を受けた場合に被害の影響が大きいスマホアプリは、脆弱性診断を受けるべきです。個人情報やクレジットカード情報のような重要情報を扱うスマホアプリが考えられるでしょう。

稼働するスマホアプリファイルをご提供いただきます。アプリ操作にアカウントが必要である場合は、あわせてご提供ください。アプリのソースコードをご提供いただく必要はありません。

開発に用いたライブラリが、意図しないサーバに対して不正通信していたというデバイスも存在します。また、デバイスが攻撃の踏み台となることもありうるため、リリースや機能追加の際には、セキュリティ診断を受診されることを推奨します。

API診断を実施しない場合であっても、通信によってサーバ側のデータに対して改竄やデータ不整合を発生させる可能性はございます。不測の事態への対応として、セキュリティ診断を受診される際は、データバックアップをとることを推奨します。

デバイス・アプリの機能・複雑さにもよりますが、診断１０営業日、報告書作成7営業日、が平均的なスケジュールとなります。

診断時間は以下の２つの時間帯からお選びいただき、自由に設定することができます。また、当初契約時からの時間帯変更は無料で承っております。詳しくは弊社 担当営業までお問い合わせください。

A) 6:00~18:00
B) 18:00~翌6:00

ツールでの自動診断のため、下記のような構成のページは診断できません。

１）複数回の実行ができない機能
同じリクエストに対して複数パターンの検査を行うため、診断ができません。
例：・退会　・データの削除　・処理上限がある機能

２）診断対象と異なるFQDNでセッションを引き継ぐ必要がある
異なるFQDNを跨いで遷移することができないため、診断することができません。
例）・診断対象とログインするサイトのFQDNが異なる
・診断対象とセッションを発行するサイトのFQDNが異なる　など

詳しくは弊社 担当営業にお問い合わせください。

標的型メール訓練サービスでは疑似攻撃メールを送信し、そのメールのURLや添付ファイルをクリックする「人」の情報を集めるサービスです。
一方、標的型攻撃リスク診断では標的型メール訓練サービスに加えて、仮に標的型メールにより社内にマルウェアが入り込んだ場合にどこまで展開する可能性があるかを確認し、その状況に対する対策を提示するサービスとなります。

弊社エンジニアがお客様の環境についてヒアリングし、事前に動作確認をいたします。
また、ご担当者様側で何かを操作する必要はありません。

お客様のネットワーク環境に設置したサーバと通信することで、同時実行数を制御しています。

スキャン結果は暗号化されていますので、安心してご利用ください。

メールに添付するファイルは、疑似マルウェアをダウンロードする機能のみです。
疑似マルウェアはお客様のネットワーク環境に設置したサーバからダウンロードされ、動作完了後に自動的に削除されます。ダウンロードURLが有効なのは1回限りです。
管理者様に削除バッチを提供し、開封したユーザへ削除バッチを実行していただきます。

リバースエンジニアリングされにくい言語で記述し、難読化により解析を困難にしています。

標的型攻撃メール対策には、社員の皆様への啓蒙が欠かせません。オプションにてセキュリティ教育も承っております。ぜひご相談ください。

可視化されたリスクを緩和するために、お客様にとって最適なソリューションをご提供いたします。
数ある当社サービスの中からだけでなく、当社パートナーの製品やサービスも含めた、幅広いご提案が可能です。

お客様のネットワーク環境に設置したサーバと通信できない場合、および社内のIPアドレスやネットワーク環境でない場合は、アプリケーションを起動しないように制御しています。