English

お問い合わせ

サイバートラスト Web スキャナー

Web スキャナー

サイバートラスト Web スキャナーは、診断ツールを用い、Web サイト内のアプリケーションやネットワーク機器の脆弱性を外部からスキャンし、診断を行うサービスです。

サイバートラスト Web スキャナー 概要

Web サイトの 70 %には、なんらかの脆弱性が潜在しています

Web サイトへのハッキング攻撃被害は年々増加しています。ハッキング攻撃の動機も初期の愉快犯的なものから営利目的へと完全に移行しており、この傾向に歯止めがかからないのが昨今の現状です。

Web サイトへのハッキング攻撃は、Web サイトに潜在する脆弱性を利用して行われます。脆弱性を抱えたWebサイトは、ハッキング攻撃の対象とされるリスクを負っています。

サイバートラスト Web スキャナーの提供元であり、国内で脆弱性診断サービスを長年提供している三和コムテックの調査によると、脆弱性診断を実施したWebサイトのうちの約70%になんらかの脆弱性が発見されています。

webscanner-graph.png

サイバートラスト Web スキャナーとは

サイバートラスト Web スキャナーは、Web サーバーに対するハッキングの脅威に対し、Web サイト内のアプリケーション(各種フォーム、プログラム)に加え、ルーター、ファイアーウォール、DNS などのネットワーク機器の脆弱性を毎日自動的に外部からスキャンし、診断を行います。

診断結果は脆弱性レポートの形で報告されますので、脆弱性の有無や発見された脆弱性の深刻度を一目で確認することができます。 また、サイバートラスト Web スキャナーは、クラウドサービスであるため、Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要です。最新のセキュリティー情報に基づいた診断を、今すぐに始めることができます。

webscanner-figure.png

脆弱性診断エンジンには、実績のある三和コムテック株式会社のクラウド型自動脆弱性診断サービス「SCT SECURE クラウドスキャン」を採用しています。

Web スキャナー ラインナップ

Web スキャナー は サイバートラストの SSL/TLS サーバー証明書 SureServer をご利用中のお客様限定のサービスです

サイバートラスト Web スキャナーには、以下の 2 製品があります。Web スキャナー Light は SureServer ご利用の方が無料でご利用いただける Web スキャナーの簡易サービスとなります。

Web スキャナー

Web スキャナーは、Web サーバーに対するハッキングの脅威に対し、Web サイト内のアプリケーション(各種フォーム、プログラム)に加え、ルーター、ファイアーウォール、DNS などのネットワーク機器の脆弱性を毎日自動的に外部からスキャンし、診断を行います。
サイバートラストが提供する SSL/TLS サーバー証明書 SureServer をご導入いただいた Web サイトに、特別価格でご提供します。

ご利用料金:オープン価格/年
Web スキャナー Light

Web スキャナー Light は、Web スキャナーの簡易サービスとなります。Web スキャナー Light は、サイバートラストが提供するSSL/TLS サーバー証明書 SureServer をご導入いただいている Web サイト(FQDN)に、無料でご利用いただけます。利用開始には、スキャン開始のお申込みが必要です。

ご利用料金:無料/年

Web スキャナー Light 詳細

Web スキャナーと Web スキャナー Light の違い

Web スキャナー Light ではネットワーク診断とプラットフォーム診断は行われますが、Web アプリケーション診断は実施されません。Web アプリケーション(サーバーサイド・スクリプト)の脆弱性診断が必要な場合は、Web スキャナーの利用をご検討ください。

Web スキャナーの特長

簡単な導入と運用が可能な、完全クラウド型脆弱性診断
  • Web サーバーにエージェントやソフトウェア等のインストール、特別な機器の導入などは一切不要です。
  • ハッカーの立場でクラウド側から検査。
  • 完全自動の定期脆弱性診断サービスです。
  • プラットフォームと Web アプリケーションの両方を検査
  • ネットワークに影響を与えない非侵襲的(非破壊的)検査のみを実行
世界的に信頼性の高い診断エンジンを採用
  • PCI-DSS(※)の認定ベンダーが提供する診断エンジンを採用
  • セキュリティーに厳格なカード業界品質の診断サービス
  • 診断エンジンは世界的な企業や軍、セキュリティベンダにも採用されています

※PCI-DSS(Payment Card Industry Data Security Standard:PCI データセキュリティスタンダード)は、 クレジットカード情報および取り引き情報を保護するために 2004 年 12 月、JCB・American Express・Discover・マスターカード・VISA の国際ペイメントブランド 5 社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

最高水準の脆弱性データベースに基づき診断
  • IT セキュリティーの情報ポータル Securiteam.com の情報を元に、日々、検査パターンを作成・更新
  • 13,000 以上の脆弱性項目(Light では 10,000 以上)と、5,000 以上の攻撃スクリプトを蓄積

Web スキャナーによる脆弱性診断のしくみ

Web スキャナーは、3 つのフェーズで Web サーバーに診断を実施します。

ネットワーク診断

(1) ネットワーク診断・基本項目診断

既知のポートに対してスキャンを実行、ネットワーク層の脆弱性を検査します。 不必要に開いているポートや、サービスの有無を調査、不要なサービスがあれば設定情報を収集、脆弱性データベースと照合し、潜在的な脆弱性があれば、検査を実施します。

Web アプリケーション診断

(2) クローリング

スキャン実施前に診断対象の Web サイトの情報を収集、診断すべき対象の URL を抽出します。

(3) スキャン実施

Web サイトのページ、アプリケーション、Web サーバーを検査し、攻撃に利用可能な脆弱性やセキュリティホールをスキャンします。 主に Web サイトのコード、サーバー設定のエラーなどを検知し、Web サイトの抱えるセキュリティリスクを診断します。
診断対象は外部から定期的に検査する事で常に最新の脆弱性にも対応する事が可能です。 診断時間は、Web サイトの規模や動的ページの数により変動します。

セキュリティー検査項目

Web スキャナーの脆弱性データベースには、13,000 の脆弱性項目と、5,000 以上の攻撃スクリプトが蓄積されています。Web スキャナーが提供する診断サービスは、Web アプリケーションだけではなく、ネットワークやデータベースの脆弱性を診断できる業界で唯一の診断サービスです。

  • バックドア
  • リモートコントロール
  • ブルートフォース攻撃
  • CGI と FORM 処理の脆弱性(SQL インジェクションを含む)
  • デフォルトパスワード
  • 全データベースサーバー
  • 全マイクロソフトのバージョン
  • 全 UNIX と Linux のバージョン
  • E メールサービス
  • リモート管理アクセス
  • リモートデータベースアクセス
  • リモートファイルアクセス
  • 全 TCP ポート
  • RPC
  • SMB/NetBIOS
  • ICMP
  • HTTP サービス(クロスサイトスクリプティングを含む)
  • SNMP
  • SMTP
  • UDP
  • FTP と Telnet
  • ルーターとロードバランサー
  • Firewall とアドレススイッチ

Web アプリケーション診断ができないページについて

「Web スキャナー」はツールによる自動診断をご提供するサービスです。手動診断のような柔軟な対応はできないため、次のようなページの Web アプリケーション診断はできません。「Web スキャナー」で診断できないページが多数存在する Web サイトでは、「Web スキャナー」に加えて、手動による脆弱性診断をあわえてご検討ください。

診断できないページの例
JavaScript で遷移するページ Web スキャナーでは、Form タグや A タグで記述されたフォームやリンクをたどりながらクロールしページ情報を取得しています。JavaScript によって遷移するページはクロールできないため診断できません。
たとえば、 <input type="button" onClick="処理">、<a href="...." onClick="処理"> で呼び出され location.href = "リンク先"; で遷移する、など。
同様の理由で JavaScript によりフォーム送信されるページではフォーム送信自体が行えないため診断できません。
入力チェックなどにより遷移前ページの Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ) フォームへの入力値を指定することはできない為、Form に特定の値を入力する必要のあるページ(シナリオの設定が必要なページ)の次ページ以降はクロールで取得できません。
前ページから引き継がれてきた動的な値をチェックして表示を行うようなページ たとえば、URL の後ろに「TOKEN=dc123ad64b31006ecc4aad0c13d644c1」のようなリファラ情報が付いてないと遷移できないようなページはクロールできないため診断できません。
Basic 認証+フォーム(ID&Password)認証のように認証情報が 2 つ以上必要とするサイト 認証情報は 1 つしか設定できません。例えば、Form 認証と Basic 認証などを 2 つ以上重ねて使用しているサイトについては診断できません。
クロスドメイン認証(別ドメインでの認証)を使用しているサイト フォーム認証は診断対象として設定したドメインの URL のみ設定できる為、別ドメインでの認証は設定できません。例えば、www.company.co.jp を診断対象としているにも関わらず、ログイン時に login.company.co.jp に遷移するサイトでは、ログイン後のページの診断はできません。
POST メソッドでアクセスするページ クロール開始ページは GET メソッドリクエストで呼び出せる必要があります。
文字コードが適切に設定されていないページ Web スキャナーはデフォルトでは、UTF-8 でデコードした情報でクロールを行っております。このため、UTF-8 以外の文字コードで作られている Web ページで、文字コードが適切に指定されていない場合は、クロール時に文字化けを起こし、正常にクロールできないことがあります。
Cipher Suites を制限しているサイト 診断サーバー側では一般的によく使用される SSL 通信の設定を使用していますが、診断対象側で使用可能な Cipher suites を絞り込んでいる等の設定をしている場合に、稀に通信ができない事象が発生します。

よくある質問と回答

導入前のご相談

Q. 既にファイヤーウォールを設置していますが、それでもWebスキャナーが必要ですか?
ファイヤーウォールは安全なネットワーク環境を構築する上で必要不可欠な機器ですが、ファイヤーウォールを効果的に使用するためには常に適切に設定し運用する必要があります。また、ファイヤーウォールは外部からアクセス可能なサービス、WebサーバーやWebアプリケーション内での欠陥や構成ミスに対する攻撃を防ぐことはできません。
Webスキャナーはこれらサービスに対する脆弱性を検査し、ファイヤーウォールをより効果的に使用するお手伝いをします。
不正アクセスにより盗まれる個人情報のほとんどは、ファイヤーウォールの背後に設置されたサーバー上にあり、ファイヤーウォールの導入は安全なネットワーク構築の始めの一歩であると考えたほうがいいでしょう。
Q. 設定には特別な機器やソフトなどをインストールする必要はありますか?
特に新規でソフトウェアはハードウェアを導入する必要はありません。スキャンはリモートから実施し、現在の状況におけるセキュリティーを調査します。
Q. スキャニングの内容や脆弱性診断の基準を教えてください。
スキャンの内容は、サーバー上のOS、各サービス、Webアプリケーションに対し、ハッキングの既知の手口を使用して脆弱性の有無を調査します。準拠している基準は、Visa・MasterCard・American Express・Discovery・JCBのPCI-DSS(PCIデータセキュリティ基準)です。
Q. Webスキャナーは日本の官公庁でも導入されていますか?
OEM元の三和コムテック「SCT SECURE」は、警察機関や、大学などに導入されています。また米国では、海兵隊や政府機関でも導入されています。
Q. Webスキャナーによる「脆弱性診断」によってネットワークに悪影響が及ぶことはありますか?
はい、ありません。極めて低い帯域(約8 - 240 kbps)で、レスポンス状況を見てリクエスト頻度の調整を自動的に行なう為、通常のサイト運用に影響を与えません。

機能・運用について

Q. スキャニングはどこから、どのように行うのですか?
スキャンはリモートから毎日(WebスキャナーLightでは毎月)自動的に開始されます。
スキャン元のIPは以下の通りとなっています。
50.112.117.210
50.18.47.202
54.238.58.132
54.238.58.170
54.248.232.132
54.250.120.153
54.248.225.50
54.250.121.28
54.250.126.99
54.249.246.115
54.249.240.14
66.96.212.79
113.43.143.34
Q. サイト脆弱性を診断するための情報は、どうやって収集しているのですか?
最新のセキュリティデータを、世界中の数百の脆弱性ソースから収集しています。
例)Microsoft, Redhat, CERT, Bugtraq, CVEなど。
Q. どんなリポートをしてくれるのですか?
脆弱性の危険度レベル、概要、解決方法、パッチのダウンロードサイトへのリンク情報、追加の詳細情報などをお知らせします。またスキャン毎の検知された脆弱性の差異を確認したり、スキャン結果の履歴も見ることができます。
※WebスキャナーLightでは、脆弱性の有無と検出された脆弱性の危険度レベルと概要のみレポートします。
Q. 脆弱性が見つかった時、対処法はアドバイスしてくれるのですか?
解決方法をご案内しておりますので、通常はお客様ご自身にて対応していただける内容です。詳細情報へのリンク先もご案内しております。また、追加でサポートが必要な場合はヘルプデスク窓口を御利用いただけます。
※WebスキャナーLightでは、脆弱性の有無と検出された脆弱性の危険度レベルと概要のみレポートします。解決方法のご案内や詳細情報が必要な場合は、Webスキャナーへのアップグレードをご検討ください。
Q. 毎日(毎月)スキャンする必要があるのですか?
新しい攻撃の手法は、毎日増加しています。Webスキャナーは世界中から最新の脆弱性情報を収集し、全てのサーバーに対して、毎日スキャンを実行します。最新の攻撃に対応することで、情報漏えいの危険性を未然に防ぐことができます。
Q. Webスキャナーを運用するにあたって、何か追加作業は発生しますか?
特に追加作業は発生しません。むしろWebスキャナーは時間の節約となります。毎日たくさんの新しい脆弱性が報告される中で、御社のシステムに該当する欠陥を自動で検査し、パッチを適用するための情報を提供します。SCT SECUREはシステム担当者の負担を大きく減らすことができます。また、Webスキャナーの設定はアカウント画面上で実装でき、操作も非常にわかりやすく簡単です。特別な専門的技術やトレーニングは必要ありません。
Q. Webサーバーが第三者機関の管理するデータセンターにあります。そのような場合にもWebスキャナーを利用することができますか?
お客様のシステムが、外部のデータセンターやサービスプロバイダーの設備環境内で稼動している場合でも、Webスキャナーをご利用いただくことは可能です。
但し、この場合には次のことが必要になります。
お客様からご利用中のデータセンターやサービスプロバイダーにWebスキャナーを利用することをご連絡ください。データセンターやサービスプロバイダーへの連絡方法についてはこちらをご参照ください。
※お客様がデータセンターやサービスプロバイダーから、該当するネットワーク及びシステムがWebスキャナーによるアクセス、診断を受けることへの承諾を得てください。Webスキャナーの診断をデータセンターやサービスプロバイダー等のシステムの所有者、管理者に無断で行うことで、不正アクセス禁止法に抵触する可能性がございます。ネットワーク及びWebサーバー等のシステムをお客様が自社内で使用されている場合には、お客様自身の承諾のみでご利用いただけます。
Q. 侵入検知システムや侵入防止システムを利用していますが、何か事前に準備する必要はありますか?
数千項目以上の診断を行うため、ほとんどの侵入検知システム(IDS)、侵入防止システムが作動することが予測されます。そうなると正常な診断が実施できない可能性がございますので、スキャン元IPアドレスからのアクセスを予め許可する設定にしていただくことが必要となります。
スキャン元のIPは以下の通りとなっています。
50.112.117.210
50.18.47.202
54.238.58.132
54.238.58.170
54.248.232.132
54.250.120.153
54.248.225.50
54.250.121.28
54.250.126.99
54.249.246.115
54.249.240.14
66.96.212.79
113.43.143.34
Q. Web アプリケーションの各入力フィールドの項目については診断しますか?
Webスキャナーでは、基本的にスキャンで発見した全てのフォームを自動的に診断します。また、診断対象外として特定のURLを指定することができます。
Q. Webスキャナーを実施したサイトでは、Visaのセキュリティーテストを免除されるのですか?
WebスキャナーはVisa/MasterCard/JCBが義務づけているセキュリティー基準(PCI-DSS)のスキャン認定ベンダーの提供する診断エンジンを使用しています。Webスキャナーの検査により、PCI基準にコンプライアンスできているか確認することができますが、各ブランド・アクワイアラーに対してPCIコンプライアンス証明書を発行するためには、別途サービスが必要となります。

お見積もり・導入相談

Q. Webスキャナーの導入検討にあたって来社説明してもらうことは可能ですか?
首都圏の場合、ご訪問することが可能です。お問い合わせより弊社担当までご連絡ください。折り返し、日時などの調整をさせていただきます。首都圏以外の場合、お電話にてサービスのご説明をさせていただき、状況によってはご訪問もおうけいたします。まずは、[お見積もり・導入相談等のご依頼]フォームより、お問合せください。
Q. Webスキャナーのおおよその価格を知りたいのですが?
WebスキャナーLightはサイバートラストが提供するSSLサーバー証明書をご導入の場合、無料でご利用いただくことができます。Webスキャナーは、オープン価格となっておりますので、お手数ではございますが、弊社または販売代理店までお問い合わせください。
Q. 見積もりが欲しい場合、どうすればいいですか?
[お見積もり・導入相談等のご依頼]フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。
Q. 購入申し込みはどうすればいいですか?オンラインで申し込めますか?
[お見積もり・導入相談等のご依頼]フォームより、お問い合わせください。折り返し、担当営業よりご連絡いたします。
Q. 申し込みから実稼動までのおおよそのプロセスと期間を教えてください。
[WebスキャナーLightの場合]
[スキャン開始のお申込み]フォームより、お申込みいただいた後、2週間以内にアカウントを作成し、スキャンを開始いたします。
[Webスキャナーの場合]
お申込の後、事前チェックシートにてスキャン対象のドメイン(IP)情報を申請していただきます。
ホスティング会社にお預けの場合は、事前にスキャンする旨をご利用の事業者へご連絡する必要があります。
診断の許可をいただければ、御社専用のアカウントを作成し、スキャンを開始いたします。必要情報が揃っていれば3営業日以内に開始することができます。

Web スキャナー サービス利用約款

Web スキャナーのサービス利用約款はこちらをご覧ください。

Web スキャナー お見積り、ご導入のご相談

Web スキャナーのお見積りや導入のご相談のご依頼につきましては、以下のフォームよりお申込みください。

サイバートラストのテレワークソリューション
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS