セキュリティ診断
NTT東日本 Webセキュリティ診断
NTT東日本 Webセキュリティ診断は、ホームページに潜む「脆弱性」や「改ざん」を、お客さまに代わって定期的に診断します。お申し込みは専用のWebサイトにアクセスして必要事項を登録するだけ。
NTT東日本 Webセキュリティ診断には、長年にわたるラックのセキュリティ診断のノウハウが活かされています。
サービス概要
- お客さまに登録いただいたホームページ(基本URL)に対し、定期的に診断を実施。
- 脆弱性診断を1ヶ月に1回、改ざん検出を1日に1回実施。
- 診断実施後、結果をメールで通知。
- ご利用のお申し込みや診断結果の閲覧は、専用のWebサイトからいつでもご利用可能。
サービス仕様
診断項目
診断名 | 診断内容 | 診断範囲 | 実施回数 | |
---|---|---|---|---|
Webアプリケーション脆弱性診断 | SQLインジェクション | 想定していないSQLをWebアプリケーションに実行させることでデータベースを外部から不正に操作(情報漏えい、削除、不正な情報の登録などが)できてしまう脆弱性の有無をチェックします。 | 最大100パラメータ | 1回/月 |
クロスサイトスクリプティング | 攻撃者が作成した悪意のあるスクリプトをWebアプリケーションを介して利用者のブラウザ上で実行されてしまうことによって、利用者情報が攻撃者に奪われたり、フィッシングなどの踏み台にされる脆弱性の有無をチェックします。 | |||
ディレクトリインデックス | ディレクトリに含まれるファイルの一覧を表示し公開を意図していないファイルの閲覧・実行を許可してしまう脆弱性の有無をチェックします。 | 最大100ページ | ||
OSコマンドインジェクション ※ | 攻撃者から悪意のあるリクエスト(OSへの命令)の要求を受け取ることで、サーバが不正に操作されてしまう脆弱性の有無をチェックします。 | 最大100パラメータ | ||
ディレクトリトラバーサル ※ | リクエストのパスに不正な文字列を指定することで、非公開のファイルやフォルダに不正な操作が実行されてしまう脆弱性の有無をチェックします。 | 最大100パラメータ | ||
クロスサイトリクエストフォージェリ ※ | ユーザーの正規のリクエストと偽ることで、ユーザーの意図しない操作が実行されてしまう脆弱性の有無をチェックします。 | 最大100ページ | ||
改ざん検出 | ホームページの利用者をウイルスに感染させるサイトへ誘導する不正なリンクの埋め込みの有無をチェックします。 | 最大100ページ | 1回/日 |
※ 2018年2月1日より診断項目が追加となりました。
診断対象
基本URLを起点とし、そのリンク先にあるWebページ(同一ドメイン内、より下部ディレクトリにあるものに限ります)から上記「診断項目」に定める範囲でNTT東日本が任意に選定します。
レポート
- 脆弱性および改ざん検出時には、メールで通知
- 診断結果はWebポータルから閲覧可能
- PDF版の報告書をダウンロード可能
診断できない場合について
NTT東日本 Webセキュリティ診断は、全自動で診断を実施する特性上、以下のような場合に診断を実施できません。
- ログイン等の値投入を伴う処理や入力値チェックの厳しい処理は、その処理を通過できず、診断を正常に行えない場合があります。
このため、そのような画面そのものや、その先の画面は診断することができません。
(例) 「入力→確認→登録」という流れの処理で、確認画面の入力値チェックが厳密に行われている場合、登録画面を診断することができません。 - ページの仕様等によっては診断が実施されない場合があります。
- ※改ざん検出について、同一のURL内であっても、診断範囲(100ページ)を超えるページについては診断することができません。
- ※Webアプリケーション脆弱性診断について、同一のURL内であっても、診断範囲(100パラメータ)を超えるパラメータについては診断することができません。
ご利用の流れ
ご利用のお申し込みや診断結果の閲覧は、専用のWebサイトからいつでもご利用可能。
関連情報
ニュースリリース(2010/10/12)