よくある質問と回答

導入前のご相談

Q. 既にファイヤーウォールを設置していますが、それでも脆弱性診断は必要ですか？

ファイヤーウォールは安全なネットワーク環境を構築する上で必要不可欠な機器ですが、ファイヤーウォールだけでは外部からアクセス可能なサービスである Web サーバーや Web アプリケーション内に潜在する欠陥や構成ミスなどの脆弱性を利用した攻撃を防ぐことはできません。
定期的に脆弱性診断を実施して、Web サーバーや Web アプリケーション内に脆弱性がないか確認し、対応することは非常に重要です。

Q. 設定には特別な機器やソフトなどをインストールする必要はありますか？

特に新規でソフトウェアはハードウェアを導入する必要はありません。スキャンはリモートから実施し、現在の状況におけるセキュリティーを調査します。

Q. 脆弱性診断の診断内容や基準を教えてください。

スキャンの内容は、サーバー上の OS、各サービス、Web アプリケーションに対し、ハッキングの既知の手口を使用して脆弱性の有無を調査します。準拠している基準は、Visa・MasterCard・American Express・Discovery・JCB の PCI-DSS（PCI データセキュリティ基準）です。

Q. 脆弱性ツール診断は日本の官公庁でも利用実績がありますか？

OEM 元の三和コムテック「SCT SECURE」は、警察機関や、大学などに導入されています。また米国では、海兵隊や政府機関でも導入されています。

Q. 脆弱性ツール診断によってネットワークに悪影響が及ぶことはありますか？

悪影響が及ぶことはありません。脆弱性ツール診断は極めて低い帯域（約 8 - 240 kbps）で、レスポンス状況を見てリクエスト頻度の調整を自動的に行なう為、通常のサイト運用に影響を与えません。

機能・運用について

Q. Web サイトの脆弱性を診断するための情報は、どうやって収集しているのですか？

最新のセキュリティデータを、世界中の数百の脆弱性ソースから収集しています。
例）Microsoft, Redhat, CERT, Bugtraq, CVE など。

Q. どんなレポートをしてくれるのですか？

脆弱性の危険度レベル、概要、解決方法、パッチのダウンロードサイトへのリンク情報、追加の詳細情報などをお知らせします。
レポートサンプルはこちら

Q. 脆弱性が見つかった時、対処法はアドバイスしてくれるのですか？

診断結果レポートに解決方法をご案内しておりますので、通常はお客様ご自身にて対応していただける内容です。詳細情報へのリンク先もご案内しております。また、追加でサポートが必要な場合はヘルプデスク窓口をご利用いただけます。

Q. 脆弱性診断は定期的に実施する必要がありますか？

新しい攻撃の手法は、毎日のように増加しています。脆弱性診断を定期的に実施することで、最新の攻撃に対してもすばやく対応が可能となり、情報漏えいの危険性を未然に防ぐことができます。

Q. Web サーバーが第三者機関の管理するデータセンターにあります。そのような場合にも脆弱性ツール診断を実施することができますか？

お客様のシステムが、外部のデータセンターやサービスプロバイダーの設備環境内で稼動している場合でも、脆弱性ツール診断をご利用いただくことは可能です。
但し、この場合には次のことが必要になります。
お客様からご利用中のデータセンターやサービスプロバイダーに Web スキャナーを利用することをご連絡ください。データセンターやサービスプロバイダーへの連絡方法についてはこちらをご参照ください。
※お客様がデータセンターやサービスプロバイダーから、該当するネットワーク及びシステムが脆弱性ツール診断によるアクセス、診断を受けることへの承諾を得てください。脆弱性ツール診断をデータセンターやサービスプロバイダー等のシステムの所有者、管理者に無断で行うことで、不正アクセス禁止法に抵触する可能性がございます。ネットワーク及びWebサーバー等のシステムをお客様が自社内で使用されている場合には、お客様自身の承諾のみでご利用いただけます。

Q. 脆弱性ツール診断では、フォームの各入力フィールドの項目については診断しますか？

脆弱性ツール診断では、基本的に発見した全てのフォームを自動的に診断します。また、診断対象外として特定のURLを指定することができます。

Q. 脆弱性ツール診断を実施したサイトでは、Visaのセキュリティーテストを免除されるのですか？

脆弱性ツール診断は Visa/MasterCard/JCB が義務づけているセキュリティー基準(PCI-DSS) のスキャン認定ベンダーの提供する診断エンジンを使用しています。Web スキャナーの検査により、PCI 基準にコンプライアンスできているか確認することができますが、各ブランド・アクワイアラーに対して PCI コンプライアンス証明書を発行するためには、別途サービスが必要となります。

お見積もり・導入相談

Q. 見積もりが欲しい場合、どうすればいいですか？

［お見積もり・導入相談等のご依頼］フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。

Q. Web スキャナーの導入検討にあたって来社説明してもらうことは可能ですか？

首都圏の場合、ご訪問することが可能です。お問い合わせより弊社担当までご連絡ください。折り返し、日時などの調整をさせていただきます。首都圏以外の場合、お電話にてサービスのご説明をさせていただき、状況によってはご訪問もおうけいたします。まずは、［お見積もり・導入相談等のご依頼］フォームより、お問合せください。

Q. 購入申し込みはどうすればいいですか？オンラインで申し込めますか？

［お見積もり・導入相談等のご依頼］フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。

Q. 申し込みから実稼動までのおおよそのプロセスと期間を教えてください。

お申込の後、事前チェックシートにてスキャン対象のドメイン(IP)情報を申請していただきます。
ホスティング会社にお預けの場合は、事前にスキャンする旨をご利用の事業者へご連絡する必要があります。
診断の許可をいただければ、診断を開始いたします。必要情報が揃っていれば5営業日以内に開始することができます。