FAQ

よくあるご質問

SQAT®が提供するサービスに関して、よくあるご質問の回答を掲載しています。

 脆弱性診断にあたって

Web診断・NW診断共通:診断対象カウント方法について教えてください。
NW診断についてはIPアドレス単位でのカウントとなります。 Web診断についてはリクエスト単位でのカウントとなります。 この際、動的なサイトについては外部からリクエストを送信した場合に動的に反応する画面について、画面単位ではなくリクエスト単位でのカウントとなる点にご注意ください。 「外部から見て動的」とは、対象システムに対し、クライアントPCからリクエスト送信される「パラメータ・値」によって、システムの動作に影響する箇所のことを指します。(画面表示情報の変更やデータ登録・メール送信など) 従って、システム内部で動的生成している画面であっても、外部から一切の影響を受けない場合は、カウント対象となりません。なお、「パラメータと値」は、param=123 のような形式だけでなく、URLの末尾・パスの文字列が該当する場合もあります。 詳細についてはお問い合わせください。 詳しくは弊社 担当営業にお問い合わせください。
Web診断・NW診断共通:リモートとオンサイトとあるが、どちらを選べばよいか?

リモート診断は外部から、Webサービスや自社のプラットフォームがどのように見えるかをチェックする診断となります。
オンサイト診断は外部からアクセスできないシステムを含めて、システム全体の健全性をチェックする診断となります。
いずれの場合も特定のシステムの健全性をチェックする診断となるため、侵入に対する耐性を確認することを目的とする場合にはSQAT®ペネトレーションテストをご検討いただくことをお勧めします。

Web診断:クローリングとは何ですか?

Webアプリケーション診断では、診断前にお客様のWebサイトにアクセスし、機能や画面遷移方法等の把握、診断対象となる動的リクエストの選定、検査手法の検討などを行うための網羅的な探査行為を実施します。このときの探査行為を「クローリング」と呼んでいます。

Web診断:クローリングは何のために行いますか?

機能・画面・URL・パラメータ・値・アクセス時の留意事項を、リクエスト単位で事前調査し、棚卸しを実施します。規模の相互認識を合わせ、診断対象の抜け漏れを防止します。

BBsecセキュリティ脆弱性診断の工程

Web診断:クローリングにあたって準備するものはありますか?

クローリングを実施するにあたり、クローリング開始前に、以下について
ご確認およびご準備をお願いいたします。

①当社クローリング環境からのアクセス許可
②クローリング用アカウントのご提供
③アクセスに必要な情報のご準備およびご提供
④Webサイト内に存在すべき機能の整備・データのご登録
⑤クライアント証明書やアクセストークン、Basic認証情報等のご提供
⑥クローリング対象やクローリング方法に関する特記事項のご連絡

詳細は弊社 担当営業にお問い合わせください。

Web診断:クローリング時は検証環境ですが、診断は本番環境というケースでも診断を受けられますか?

可能です。ただし、クローリング結果と齟齬が出る可能性があり、あまりお勧めしません。お見積り時と大幅に異なる場合は再度調整が必要となります。あらかじめご了承ください。

Web診断:診断中に大量のリクエストが送られることはありますか。

診断において特定の検査を行う際に最大30万リクエスト/日程度のリクエストを送信する場合があります。ただし、実行の可否については診断の際に確認の上実施します。

Web診断:Web APIの診断サービスはないのか?

Web診断のオプションとしてAPI診断のサービスをご提供しております。詳細についてはお問い合わせください。

NW診断:診断出来るIPアドレスの数はどれぐらいですか?

最小で1IPからとなります。最大数については特に制限はありませんが、診断期間などについてご検討いただく必要があります。

ソースコード診断:対応している言語や行数、ソースコードの送付方法やファイルサイズの制限はあるか?

言語一覧についてはSQAT® Coreのページをご覧ください。ソースコードの送付方法については弊社ポータルサイトへのアップロード、メディアでの受け渡しなど複数の方法がお選びいただけます。ファイルサイズについては受け渡し方法によって異なりますので、お問い合わせください。

ハイブリッド診断:ハイブリッド診断とは何?

ハイブリッド診断はWebアプリケーションの脆弱性診断とソースコード診断を組み合わせ、外部からのブラックボックステストと内部のホワイトボックステストを同じターゲットに向けて実施する診断です。詳しくはこちらをご覧ください。

 

 脆弱性診断保守サービス -Cracker Probing-Eyes®

 

Cracker Probing-Eyes®の診断時間を当初契約した時間から変更したいのですが・・・。

診断時間は以下の2つの時間帯からお選びいただき、自由に設定することができます。また、当初契約時からの時間帯変更は無料で承っております。詳しくは弊社 担当営業までお問い合わせください。

A) 6:00~18:00
B) 18:00~翌6:00

Cracker Probing-Eyes®で診断できないページはありますか?

ツールでの自動診断のため、下記のような構成のページは診断できません。

1)複数回の実行ができない機能
同じリクエストに対して複数パターンの検査を行うため、診断ができません。
例:・退会 ・データの削除 ・処理上限がある機能

2)診断対象と異なるFQDNでセッションを引き継ぐ必要がある
異なるFQDNを跨いで遷移することができないため、診断することができません。
例)・診断対象とログインするサイトのFQDNが異なる
診断対象とセッションを発行するサイトのFQDNが異なる など

詳しくは弊社 担当営業にお問い合わせください。

 

標的型攻撃リスク診断 標的型攻撃リスク診断 -SQAT® APT-

標的型攻撃リスク診断と標的型メール訓練サービスの違いは何ですか?

標的型メール訓練サービスでは疑似攻撃メールを送信し、そのメールのURLや添付ファイルをクリックする「人」の情報を集めるサービスです。
一方、標的型攻撃リスク診断では標的型メール訓練サービスに加えて、仮に標的型メールにより社内にマルウェアが入り込んだ場合にどこまで展開する可能性があるかを確認し、その状況に対する対策を提示するサービスとなります。

スキャンアプリが動作しないことはありませんか?

弊社エンジニアがお客様の環境についてヒアリングし、事前に動作確認をいたします。
また、ご担当者様側で何かを操作する必要はありません。

スキャン時にネットワーク負荷が高くなることはありませんか?

お客様のネットワーク環境に設置したサーバと通信することで、同時実行数を制御しています。

スキャン結果が漏洩することはありませんか?

スキャン結果は暗号化されていますので、安心してご利用ください。

 

【オプション:疑似マルウェア】

添付ファイルがローカルPCに残存することはありませんか?

メールに添付するファイルは、疑似マルウェアをダウンロードする機能のみです。
疑似マルウェアはお客様のネットワーク環境に設置したサーバからダウンロードされ、動作完了後に自動的に削除されます。ダウンロードURLが有効なのは1回限りです。
管理者様に削除バッチを提供し、開封したユーザへ削除バッチを実行していただきます。

添付ファイルが解析される、または悪用されることはありませんか?

リバースエンジニアリングされにくい言語で記述し、難読化により解析を困難にしています。

メール開封率が高かった場合、社員教育も実施してもらえますか?

標的型攻撃メール対策には、社員の皆様への啓蒙が欠かせません。オプションにてセキュリティ教育も承っております。ぜひご相談ください。

結果が悪かった場合、次に何をすればよいのか分かりません。

可視化されたリスクを緩和するために、お客様にとって最適なソリューションをご提供いたします。
数ある当社サービスの中からだけでなく、当社パートナーの製品やサービスも含めた、幅広いご提案が可能です。

想定したネットワーク環境以外(自宅など)で添付ファイルを開いた場合はどうなりますか?

お客様のネットワーク環境に設置したサーバと通信できない場合、および社内のIPアドレスやネットワーク環境でない場合は、アプリケーションを起動しないように制御しています。

 

スマホアプリ脆弱性診断 スマホアプリ脆弱性診断 -SQAT® for Smartphone-

スマホアプリ脆弱性診断はどのOSに対応していますか?

Android、iOS共に対応しております。

スマホアプリ脆弱性診断にはどのようなメニューがありますか?

次のような診断メニューがあります。

【スマホアプリ診断】
スマホアプリ自体を診断します。実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を行います。

【API診断】
スマホアプリ/サーバ間の通信を診断します。
APIサーバに対するリクエスト/レスポンスの検証および疑似攻撃による検査を行います。

Google PlayやApp Storeの審査とスマホアプリ脆弱性診断はちがうのですか?

Google PlayやApp Storeといったアプリストアの審査は、各ストアのガイドラインを満たしているかを審査するものであり、想定どおりに動くか、マルウェアが仕込まれていないか、といった点が中心でありセキュリティに特化した検査ではありません。

これに対し、スマホアプリ脆弱性診断では、脆弱性の有無を検査します。メール、位置情報、決済情報といった機微な情報を取り扱う上、それらを端末側で保存すること、また常時ネット接続された状態であるといったスマホアプリ独自のリスクに対するセキュリティ上の問題を洗い出すことができます。

脆弱性診断を受けるべきスマホアプリはどういうタイプのものですか?

脆弱性を突かれた攻撃を受けた場合に被害の影響が大きいスマホアプリは、脆弱性診断を受けるべきです。個人情報やクレジットカード情報のような重要情報を扱うスマホアプリが考えられるでしょう。

スマホアプリ脆弱性診断にはどのような準備が必要ですか?

稼働するスマホアプリファイルをご提供いただきます。アプリ操作にアカウントが必要である場合は、あわせてご提供ください。アプリのソースコードをご提供いただく必要はありません。