採用情報

お問い合わせ

脆弱性ツール診断 利用規約

  1. HOME
  2. 認証・セキュリティ事業
  3. 脆弱性ツール診断
  4. 脆弱性ツール診断 利用規約

重要:スキャンに関する注意点

  1. 診断はネットワーク検査、Web アプリケーション検査の二つのフェーズに分かれて設定されます。
  2. 診断開始日時以前に、Web アプリケーションの確認箇所を調べるクロール作業を実施させていただきます。クロールは通常の WEB アクセスになり、アクセス頻度としては 1 秒に 1~2 回ほどのアクセスとなります。Web アプリケーションによってはクロール作業に 1 日以上お時間を頂戴する場合がございます。
  3. Web アプリケーション検査のクロールの開始地点ですが、"http(s)://ドメイン名/"で開いたページからクロールを開始します。このページからリンクや Form をたどってページを探索し、発見したページから診断を行います。トップページからリンクしていない、独立したページやアプリケーションがある場合は、「追加 URL」にご記入ください。クロール中に発見した動的ページに対して実際の検査を実施します。
  4. 独自 Web アプリケーションのログイン後の検査も可能です。(一部の Web アプリケーションを除く)
    検査用の ID・パスワードをご用意いただき、「認証画面向け情報」にご記入ください。
    ネットワーク診断においては認証情報(Basic 認証、クライアント認証等)を利用せず脆弱性検査を行いますので、認証機能を除外された場合には診断結果が変わる可能性がございます。認証を通過した状態での診断結果をご入用の場合は、スキャン元 IP アドレスからのアクセスについては認証を除外していただくようお願いいたします。
  5. 実際に検査対象にアクセスを行うため大量のログが出力される可能性がございます。ログからアクセス分析をされている場合はご注意ください。(別ドメインにアクセス情報を送信するタイプのアクセス分析をご利用の場合、FQDN が異なるため集計側に診断のアクセス情報は送付されません)
  6. 実際のお問い合わせフォーム等において検査用リクエストを送信する場合がありますので、問い合わせメールや申込メール等が送られる場合やデータの登録/削除/編集などが発生する場合があります。(例:Form の作りや入力値の数により異なりますが、1Form あたり数百リクエスト)
  7. 検査用に送信するパラメータはランダムな英数文字、特殊な記号文字ですが、複数回リクエストを送信します。
  8. お客様のアプリケーションにログイン画面で一定回数入力を間違えるとログインできなくなるようなロックアウトの仕組みのある場合、対象のアカウントがロックされる場合がございます。
  9. お客様のアプリケーションで条件分岐・終了条件などに変数を利用している場合、検査用に送信したパラメータ値がアプリケーションの動きに沿って実行される可能性がございます。
  10. 診断対象のサーバのスペックが不十分、接続数の制限がある、空きメモリが不足している、など、診断時のリソース状況を懸念されるお客様はご相談ください。
  11. Javascript や Flash などの動的にソースが生成される場合など、ウェブアプリケーションによっては、診断ツールがページをクロールすることができず、ウェブアプリケーション診断を実施することができない場合がございます。予め、診断が可能かを確認させて頂く場合がございます。
  12. 「脆弱性ツール診断」はツールによる自動診断をご提供するサービスです。手動診断のような柔軟な対応はできないため、次のようなページの Web アプリケーション診断はできません。「脆弱性ツール診断」で診断できないページが多数存在する Web サイトでは、「脆弱性ツール診断」に加えて、手動による脆弱性診断をあわえてご検討ください。

    【診断できないページの例】
    JavaScript で遷移するページ 脆弱性ツール診断では、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。
    たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。
    同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。
    入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。
    前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。
    Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。
    クロスドメイン認証(別ドメインでの認証)を使用しているサイト フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。
    POST メソッドでアクセスするページ クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。
    文字コードが適切に設定されていないページ 脆弱性ツール診断はデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。
    Cipher Suites を制限しているサイト 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。

以上

脆弱性ツール診断(SCT SECURE)サービス規約

三和コムテック株式会社(以下「SCT」といいます。)の提供するクラウド型脆弱性診断サービス「SCT SECURE」(以下「サービス」といいます。)を使用するには、このサービスを使用する法人(あなたが法人を代表して申込みをする場合)、または個人 (以下「お客様」といいます。)は、本サービス規約およびその中で特定して参照し組み込まれる条件(以下総称して「規約」といいます。)に同意していただく必要があります。

1.定義

「ネットワーク・セキュリティ監査」は、ネットワーク・デバイスが発表されているセキュリティ基準に準拠していることの確認と、セキュリティ脆弱性の開示 を行うための監査です。その中には、ポート・スキャニング、ポート・コネクション、バージョンのチェック、要求へのレスポンスの評価、フォームのテスト、 アプリケーションのレスポンスまたはファイルの存在確認を行うことによる Web サイトのクローリングを含みますが、これらに限定されるものではありませ ん。

「Web サイト」とは、サービス利用を容易にし、提供し、説明するインターネットでアクセス可能な SCT のシステムを意味します。

「デバイス」とは、コンピュータ・ハードウェア、ネットワーク、記憶装置、インプット/アウトプット、電子的制御デバイス、またはデバイスにインストールされたソフトウェアを意味します。

「IP」とは、インターネット・プロトコル・アドレスを意味します。

2.サービスをご利用いただけない方

次の場合、お客様はサービス購入を申し込むことはできません。

(1) お客様が SCT の競合相手である場合
(2) サービスを使用するお客様またはその従業員がコンピュータまたはインターネット関連犯罪で有罪判決を受けた場合
(3) SCT に対する60日以上の未払い金がある場合
(4) お客様が法律でサービスの使用を禁止されている地域にいる場合

3.本人確認と権限確認

サービス利用に関し、電子またはハードコピーの登録フォームに現在の正確な情報を記入して提出することに同意していただきます。かかる情報を偽装し、または、他の個人、法人、組織等を問わずそれらの者との関係や権限を偽ってはなりません。

お客様が法人の場合、サービスを購入し、または規約に同意した役職員は、お客様のために行動する権限を有していることを確認したものとみなされます。ま た、サービスを購入するか、または規約に同意することにより、サービスを実行する全ての IP と関連するデバイスを所有するか、使用権のある ISP または Web ホストによって契約上の使用権を与えられていることをも確認したものとみなされます。

お客様には、サービスの利用に関して SCT が妥当な方法で行う本人確認と権限確認に協力することに同意していただきます。

4.禁止された使用方法について

明確な権限を与えられていない IP またはデバイスでサービスを実行してはいけません。サービスを実行しようとする IP またはデバイスに不当な負荷を与える 方法でサービスを使用してはいけません。SCT が所有するか否かに関わらず、どんなデバイスに対しても、直接または間接的に、①攻撃、ハッキングもしくは クラッキングを何らかの方法により誘導する目的で、または②通信容量超過し、悪意または潜在的に損傷を与えるネットワーク・メッセージを送る目的で、 SCT の IP またはデバイスを使用してはいけません。SCT のデバイスのプロトコルを使用して、どのような種類であれ攻撃を誘導してはいけません。SCT のコンピュータ・システムで BOT(攻撃ソフトウェア)、スパイダー、クローラーまたはその他の自動化されたプロセスを誘導してはいけません。サービスの 使用およびその他の方法で、SCT のデバイスに不当な負担を与えてはいけません。サービスと SCT のデバイスを使用して、例えば、コンピュータ犯罪、違法 コンテンツの送信または保管、または知的所有権または著作権違反のコンテンツの送信または保管などの違法な活動を行ってはなりません。権限が与えられていない、または SCT がプライバシー・ポリシーに従い意図的に公開していない SCT のデバイス上の情報にアクセスしてはいけません。SCT のプライバシー・ ポリシーは、http://www.sct.co.jp/privacy.shtml を参照してください。何らかの方法、手段、理由で権限を持たない情報 にアクセスした場合、SCT に直ちに報告して、すべての電子またはハードコピー情報を破棄してください。その場合には、websec@sct.co.jp に受信確認要求付メール、または 03-3583-4003 まで電話で報告してください。

SCT は、上記規約違反があった場合、サービスを即刻停止し、または、法的手段をとることもあります。

5.使用方法とコンテンツ

お客様は、法律および規約に従って SCT が認める適切な方法でサービスを利用しなければなりません。お客様は、サービスを利用する間、使用方法および掲 示、配布、送受信するコンテンツに対して責任があります。お客様は、サービスを利用して(a) 法令または規約に違反する、誹謗中傷に当たるコンテンツ、(b) 猥褻な、未成年に有害な、ポルノの、第三者のプライバシーを侵害する、人種差別的な、不道徳的な、または攻撃的なコンテンツ、(c) 犯罪行為、暴力または人種差別を提唱、勧誘するコンテンツ、(d) 第三者の知的財産権、著作権、その他の権利を侵害するコンテンツ、(e) バルクまたはスパム・メールのような許可されていないまたは要求されていない商業的通信を構成するコンテンツ、(f) 実際の損害が発生するか否かに関わりなくウィルス、トロイの木馬、バックドアまたはマクロのような、コンピュータまたはネットワーク・システムとソフト ウェアを混乱、損傷、破壊するコンピューター・コードを含むコンテンツ、(g) システム、データ、個人情報を密かに傍受、ダウンロード、もしくはコピーし、または有害な目的で干渉、損傷または取り上げようとするコンテンツ、(h) 何らかの方法で Web サイトまたはサービスを改竄するコンテンツ、(i) パスワードまたは秘密質問などのアカウント・アクセス情報を暴露するコンテンツなどを配布、リンク、送信またはこれらの行為が行われるような勧誘を行って はいけません。また、お客様は、適用ある法令、規則及び SCT のポリシーを遵守しなければなりません。

6.サポート

規約に従い、SCT は通常の業務時間中にのみ、オンラインまたは電話によるサポートを提供します。お客様が追加のサポートを希望するときは、別途契約する必要があります。

7.非保証

サービスは、「現状有姿(as is)」で提供され、何らの保証はありません。お客様には、コンピュータ・セキュリティの評価は非常に複雑で常時変化しうるものであることをご理解いただ く必要があります。また、お客様には、お客様自身のリスクで、サービスを利用していただきます。SCT、その役員および従業員はお客様のサービスの利用お よびその結果に責任を負いません。SCT は、サービスがお客様のネットワークまたはサーバーの全ての脆弱性を発見すること、および報告書に記述された解決 のためのソリューションとアドバイスが完全なものであること、もしくはエラーがないことを保証するものではありません。SCT は、サービスの利用に関連し て SCT が提供する情報の使用または適用に関して何らの責任も負いません。さらに、SCT は、サービスが常時利用可能であること、サービスにエラーがない こと、またはサービスがお客様の要求を満たすものであることを保証するものではありません。お客様は、お客様自身のリスクでサービスまたは関連する第三者 のサービスを使用します。サービス利用の結果、デバイスに損傷が生じても全てお客様の責任になります。

8.著作権と知的財産権

サービスに関連して SCT が提供するすべての内容は、著作権で保護されています。商業目的か否かを問わず、サービスのどの部分でもどのような形であれ複製 または配布することはできません。特に断りがない限り、私的利用のために使用するものであり、かつ送信、配布、変更、改竄、または著作権、商標その他の知 的財産所有権表示を除去しないのであれば、サービスに関して SCT から送信または配布される SCT の文書を閲覧、ダウンロード、コピー、印刷をすることが できます。

9.プライバシー

この規約に同意することにより、お客様は、SCT が SCT のプライバシー・ポリシーに従ってお客様の個人情報を収集し使用することに同意していただきます。SCT のプライバシー・ポリシーは、 http://www.sct.co.jp/privacy.shtml にあります。またお客様は、サービスを利用して個人情報にアクセスまたは遺漏しな いよう合理的な努力をすること、サービスの利用に影響を与えるかもしれないプライバシー・ポリシーの条項を遵守することに同意していただきます。ここに参 照されている SCT のプライバシー・ポリシーは、SCT の裁量で変更されることがあります。

10.対話型サービスの利用

フォーラム、チャットルーム、サポート・ツールまたはサービスに関連するその他の対話型ツールは、コンピュータ・セキュリティの問題、一般に公開されてい る SCT 製品、サービス、サービスの利用に関する他のビジネス上のまたは技術的な問題を議論するためのツールです。対話型サービスは、苦情受付やビジネス を勧誘するためにあるのではありません。SCT は通常、技術およびお客様サポートを提供する必要がある場合を除いて、ユーザー・コンテンツをチェックまた は編集、あるいは対話型サービスをモニターしませんが、将来そのようなことを行う可能性があります。SCT は5.に規定された、禁止されたコンテンツに関 して責任を負いません。

11.秘密保持義務

SCT のプライバシー・ポリシーに別段の定めがある場合を除き、SCT とお客様は、サービスの期限切れまたは終了から1年間の期間、お互いの機密情報を厳 重に保管し、相手方の書面による合意なく第三者に開示しないことに同意します。ただし、法令または裁判所もしくは監督官庁の命令等により開示を要求される 場合はこの限りではありません。両者は、機密情報を規約に定める義務を履行する目的のみに使用することに同意します。さらに、情報受領側は、三者に対する 権限のない開示を防止するため、自身の機密情報を扱うのと同程度以上の注意義務を負っています。お客様は、お客様が購入したサービスによって収集されたお 客様のデータを、規約に基づく SCT の義務を履行するため、データ・センターに転送することを理解し、同意していただきます。「機密情報」とは、非公開の 企業秘密情報をいい、発見、発案、発明、概念、ソフトウェア、装置、デザイン、製図、仕様、技術、プロセス、モデル、データ、ソース・コード、オブジェク ト・コード、文書、設計図、フロー・チャート、研究、開発、ビジネス・プランもしくは機会、ビジネス戦略、将来のプロジェクトもしくは製品、検討中のプロ ジェクトもしくは製品、手順、財務、コスト、価格、または仕入先、お客様もしくは従業員に関する情報などに関連する情報、技術データ、ノウハウであって、 一方の当事者またはその代理人によって、この規約の日付以前または後日、相手方当事者またはその従業員、代理人に、直接または間接的に、書面、口頭、図 面、装置またはソフトウェアの検査によって開示されるものを含みますが、これら限定されるわけではありません。お客様は、サービスを受けるアカウントにア クセスするのに使用されるパスワードまたは秘密の質問を機密情報として扱うことに同意します。お客様は、お客様のロゴ、商標またはその他の識別特性は機密 情報として扱わないこと、SCT が、機密情報を含んでいない場合には、お客様を匿名化された一お客様として識別し取り扱うことに同意していただきます。 この項でいう機密情報を保護する義務は、次の情報には適用されません。 ① 相手方から開示を受ける以前に既に保有し、または開示された後機密情報を利用することなく独自に知得したもの ② 相手方から開示を受ける以前に既に公知であったか、または開示された後自らの秘密保持義務に違反することなく公知となったもの ③ 正当な権限を有する第三者から秘密保持義務を負わずに知得したもの ④ 機密情報を利用することなく独自に開発したもの

12.契約違反

お客様が、SCT への支払いを 10 日以上遅延した場合、または本規約に違反した場合、契約違反となります。別途定めがある場合を除き、サービス料金は前払 いで、サービスの請求書に記載されている支払条件に従って支払われます。支払条件は規約の内容となります。お客様に契約違反があった場合、SCT は、次の アクションをとることがあります。(a) すべての未払金につき、期限の利益を喪失したものとして支払請求、(b) サービスの停止、(c) 本契約の終了、(d) その他 SCT に法令又は規約に基づき認められる法的措置。お客様には、SCT がこれらの法的措置を採る場合、SCT が必要とする費用(妥当な弁護士費用を 含みます。)を負担することにあらかじめ同意していただきます。

13.販売に関する税金

お客様は、消費税その他適用ある税金を負担していただきます。ただし、SCT の純利益に課される税を除きます。

14.補償条項

お客様のアカウント、お客様によるサービスの利用、お客様のユーザー・アカウントを使用する第三者に関連して、本規約違反、または故意もしくは過失を問わ ずとられたアクションから発生するすべての損失、損害、費用、弁護士費用(以下「クレーム」)に対して、SCT、その役員、取締役、従業員、代理人、サプ ライヤー、ライセンス保持者、第三者情報提供者またはその他関連当事者を補償すること、損害が及ばないようにすること、防御することに同意していただきま す。お客様によるサービスの利用の結果、第三者からお客様に対してクレームがあった場合であっても、SCT 社は当該クレームについてお客様に対して補償を 行うものではありません。

15.SCT の責任の限定

お客様には、SCT が、契約、不法行為、保証その他形式を問わず、お客様の損害、損失、費用(これらについては、予見可能性の有無、および直接または間接 に生じたか否かを問いません。)に対して、法律が認める限度で、一切責任を負わないことに明確に同意していただきます。この制限は、利用可能なサービス、 第三者の提供するサービス、コンテンツ、ソフトウェア、またはサービスに関連するその他の事項へのお客様によるアクセスと使用から発生するものを含む、すべてのクレームまたは訴訟原因に適用されますが、これらに限られるものではありません。また、いかなる訴訟原因に対する SCT の責任についても、訴訟原因 となったサービスの直前 12 ヶ月に SCT へ支払われた金額を超えないことに同意していただきます。

16.規約とサービスの修正

SCT は、随時規約を修正する権利を保留します。修正後の規約は以下のページ(http://www.sct.co.jp/sctsecure /termsofservice.pdf) に掲示されます。お客様は、このページを時々チェックして更新してください。お客様が、規約変更後にサービスを利用された場合、修正後の規約内容を完全かつ十分に承諾したものとみなされます。SCT は、サービスを修正、停止、一時的利用停止を行う権利を保留します。また、別途明確に表明されていない限り、 新規に追加されまたは修正された機能についても、規約に従うこととなります。

17.ビヨンド

サービスは、Beyond Security, Inc.(以下「ビヨンド」といいます。)によって開発され、提供されます。お客様は、規約に基づき SCT に請求することができる事項を超えて、ビヨンド に対して、何らかの作為又は不作為を請求することはできません。また、お客様は、ビヨンドに対してサービスに関して何らかの作為又は不作為を請求できる場 合であっても、本規約で認められるものを除き、SCT にサービスに関して何らかの作為又は不作為を請求することはできません。規約と、ビヨンドが定めた End User Agreement の規定が矛盾する場合、End User Agreement の規定が優先されます。最新の End User Agreement は、http://www.sct.co.jp/sctsecure/enduseragreement.pdf に掲載されています。

18.全体契約

お客様は、プライバシー・ポリシーを含む規約は、お客様と SCT との間の全体契約を構成するものであることに同意していただきます。この規約は以前に口頭または書面で取り交わされた契約書または文書に置き換わるものであることに同意していただきます。

19.分離条項

お客様は、規約の一つが何らかの理由で違法、無効、または強制力が認められないとされた場合でも、その他のすべての条項は効力を持ち続けることに同意していただきます。

20.準拠法と管轄

この規約は日本法に準拠します。この規約に起因し、または関連して紛争が起きた場合、東京地方裁判所が第一審の専属的管轄を有するものとします。

21.権利放棄

規約に基づく権利は、明確に書面で放棄されない限り放棄したことにはなりません。また、規約に基づく権利を行使しないからといって、その権利を放棄したことにはなりません。

22.期間と終了

お客様には、規約はサービスを更新または利用し続ける限り有効であることに同意していただきます。サービスの使用を停止して、SCT への支払いを完了して いるときにのみ、SCT とお客様との契約関係を終了させることができます(ただし、終了後も存続されることが予定されている条項を除きます。)。原因の有 無に関係なく、お客様が何らかの方法で規約上の条項に違反していると考える理由がある場合、または、サービスが永久に停止したときに、いつでもどのような 理由でも SCT が SCT とお客様との契約関係を終了できることに同意していただきます。サービスの更新は、その時点で有効な規約にしたがって行われます。

23.ネットワーク・セキュリティ監査

お客様は、SCT が、お客様が指定するデバイスと IP に対してネットワーク・セキュリティ監査を実施する権限を与えていただきます。ネットワーク・セキュ リティ監査は、SCT 従業員または委託先によって実行され、随時自動化された脆弱性スキャン・システムの範囲を越えた追加的調査と検証を含みます。ある場 合には、ターゲット・サーバーから脆弱性および最小限のデータ抽出を行い、セキュリティ監査の発見の裏付けおこない、お客様に脆弱性を例示するのに使用し ます。

以上

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime