Webセキュリティ診断サービスって結局どこがいいの?比較する前に押さえておくポイントを解説
WebサイトやWeb APIに脆弱性が潜んでいないか調べることができる「Webセキュリティ診断サービス」。いざ診断を受けようと診断サービスの比較サイトなどを見てみると、サービスの種類も多く、専門用語も多いため「結局どこがいいの?」と思われる方も多いのではないでしょうか。
この記事では、Webセキュリティ診断サービスを比較する前にまず知っておきたい基礎知識をご紹介します。
情報漏洩ニュースのたびに「うちのサイトは大丈夫かな」と心配されていませんか?
脅威に対する「安心」が手に入れば、心配事はなくなります!
知っておきたい「Webセキュリティ診断」の基礎知識
1.診断範囲
Webセキュリティ診断サービスには、「Webアプリケーション診断」と「プラットフォーム診断」があり、それぞれ診断する範囲が異なります。
Webアプリケーション診断
Webページに置かれたお問い合わせフォームやショッピング機能など、ユーザーの入力値を受け取って処理する機能に起こりえる脆弱性(例:SQLインジェクションやXSSなど)を診断するサービスです。
プラットフォーム診断
サーバー自体の問題を診断します。具体的にはポートスキャンによる稼働サービスの確認や、稼働しているサービスに既知の脆弱性が無いかを確認する診断サービスです。
2.診断内容
比較サイトの情報からは見て取ることが難しい項目になりますが、Webセキュリティ診断サービスでは「ツール診断」と「手動診断」の2つがあります。通常ですと、その2つの診断をどちらも行うことがベストですが、「ツール診断」のみでセキュリティ診断サービスを行っている会社もあります。
ツール診断
専用の診断ツールを用いた自動診断です。ツールによって網羅的に診断することができ、料金が割安で診断期間が短いというメリットがありますが、複雑な診断をすることができなかったり、誤検知が多かったりというデメリットもあります。
また、ツール診断のみのサービスの場合、ツールが出力したレポートを報告書として納品される場合もありますが、英語で表記されていることもあるので、どのような報告書がもらえるか事前に確認することをお勧めします。
手動診断
「手動診断」は判定そのものを人の手で個別に行い、ツールでは検出が難しい問題を個別に一つずつ確認していくため、時間や人的リソース、診断員の経験も必要な診断となります。しかし、この「手動診断」でしか見つけることができない問題こそが、脆弱性診断で見つけるべき脆弱性になります。
手動診断はオプションとなっている場合もあるので、手動診断を全体、それとも一部対象のみに行うのか、オプションサービスなのか、確認することをお勧めします。
ツール診断 + 手動診断(ハイブリッド診断)
ツール診断と手動診断を組み合わせた診断方法です。2つを組み合わせることで、ツールによって網羅的に診断をしつつも、ツール診断による誤検知を手動診断で精査することができるため、高精度な診断が可能です。さらにツール診断では見つけきれない脆弱性も検知することができます。
3.診断サポート
Webセキュリティ診断サービスでは、サービスによって提供しているサポート体制が異なります。初めてWebセキュリティ診断サービスを利用する場合や、相談にのってほしいことがある場合には、サポートが充実したサービスかどうかを確認することをお勧めします。
当社もWebセキュリティ診断サービスを提供しております
診断実績は300サイト以上!1930年創業のSI企業が確かな技術と知識でお客さまのサイトを診断します
株式会社信興テクノミストは、長年システム開発に携わってきたITのプロフェッショナルです。お客さまの想いを大切にする私たちだからこそ、「診断して終わり」ではなく寄り添う姿勢でお客さまをサポートします。
Webアプリケーション診断・プラットフォーム診断の両方を対応可能!
当社では両方を実施可能ですので、個別に依頼するよりも簡単に診断を受けることが可能です。
熟練診断員による高精度なハイブリッド診断
当社では診断対象全体に「手動診断」と「ツール診断」の両方を実施しています。
初めて診断を実施するお客さまも安心のサポート体制
熟練の診断員が、お客さまのお悩みに合わせて丁寧にサポートいたします。
こんなお悩みをサポートいたします
どこまでを診断対象にすればいいか分からない
診断対象の選定は、脆弱性診断サービスで最も重要な箇所です。当社では、診断員の経験と知識に基づいた診断対象の選定を行い、ご提案させていただきます。もちろん、お客さまにて「ここが診断したい」というご要望があれば、その箇所を選定箇所として内容を確認の上、ご提示させていただいております。
当社では以下のような流れで診断対象を決定しております。
- お客さまの開発状況やご予算をお伺いします
- 当社診断員がサイトを拝見し、ご予算の中でサイト内の診断対象となる箇所をピックアップいたします
- その後、お客さまにご確認いただき、対象を決定していきます
報告書の見方が分からない
報告書は分かりやすさを心がけていますが、 報告書だけではお客さまに伝えきれない部分もあるかと思われます。ご不明点がある場合にご利用いただける診断結果への問い合わせメールサポート(※回数、日数制限あり)も標準でご用意いたしております。
報告書だけをもらっても分からないから説明してほしい
希望するお客さまには、オプションにて報告会という対面式(現在ではリモートでの実施)での結果説明を行っています。診断が初めてで報告書を見ても分からないご不安がある場合にお勧めです。
脆弱性を修正したのだが、本当に修正されているのか不安がある
「危険度:Medium」以上の検出については、標準で1回の再診断を実施しております。また、1回では修正できなかった、もう一度確認したい…などのご要望も過去にはありますので、都度ご相談をお受けしますのでご安心ください。
診断が初めてのお客さまも、既に何度も実施されているお客さまも、当社の脆弱性診断サービスに興味をお持ちいただけましたら、まずはサービスサイトをご覧ください。