ハイブリッドWebセキュリティ診断「ABURIDA®」に対して、頻繁にご質問いただく内容をまとめています。お問い合わせの前にぜひ一度ご確認くださいませ。こちらに掲載のないご質問は、どうぞお気軽にお問い合わせください。
以下の情報を基に、お見積もりを行います。
・診断場所:リモート/オンサイト(現地)
・診断日:平日/休日
・診断時間:日中/夜間
・診断対象のリクエスト数
この他にも、さまざまな条件によって金額は変わります。基本的な料金プランは、サービス内容/料金ページにてご確認ください。
診断対象となるWebサーバーやアプリケーションの特性により左右されますが、 基本的に20~30リクエスト規模のサイトであれば、5営業日で診断可能です。
ご要望に応じて、夜間対応や複数人対応を実施し、より短期間で診断することも可能です。
診断対象は、お見積もりの際に当社が選定いたしますので、どうぞお任せください。
基本的な考え方としては、 パラメータにより動的に処理をしている箇所を診断対象としています。特に、データベースを更新する箇所や、ユーザーの入力値を出力する箇所は優先度が高くなります。
一方でパラメータがない静的遷移や、機能が重複する箇所、CMSの標準機能を利用するような箇所は、優先度が低くなります。
当社では、Webセキュリティ診断のみ実施しております。
Webセキュリティ診断とペネトレーションテストの違いをお知りになりたいときは、どうぞお気軽にお問い合わせください。
基本的には、Androidのみ可能としておりますが、詳しくはお問い合わせください。
はい、可能です。
ご予算に応じた診断範囲をご提案させていただいておりますので、お気軽にお問い合わせください。
開発と同時に診断をすすめることは可能です。 ただし、より有効な診断結果を得るためには、開発が完了してからの診断を推奨しています。
Webアプリケーション診断(WebサイトやAPI)については、1秒あたり10~100リクエストの通信が発生します。 トラフィック量としては、100Kbps程度を想定しています。 プラットフォーム診断については、目安として200Kbps程度のトラフィックが発生します。
1秒当たりのリクエスト数は調整可能ですので、影響がある場合はご相談ください。
以下の資料に記載された観点を網羅しています。
・IPA「安全なウェブサイトの作り方」
・OWASP TOP 10
上記に加えて、当社独自の観点による診断も行っております。
基本的にはデータを破壊しない攻撃手法にて脆弱性診断を行っていますが、潜んでいる脆弱性によってはシステム障害が発生する可能性はゼロではありません。サーバーのリソース不足や、サービス拒否の脆弱性などによって、システム障害が発生する事例は存在します。
そのため、開発環境やステージング環境の準備をお願いしております。
診断員のスケジュールが埋まっていることが多いので、ご希望に添えないこともございます。 まずは一度ご相談ください。
診断が終了している箇所については報告書を作成します。 診断ができなかった箇所を後日診断する場合は、システム復旧後、再度ご契約いただくことになります。
無料の再診断は1回のみとなります。2回目以降は、再度お見積もりを行い別途費用をいただいております。
有償になりますが可能です。なお、再度お見積もりをさせていただきます。
報告会は、オンサイト(現地)またはリモートで実施します。 診断を担当した診断員による脆弱性の説明と質疑応答を行います。
開発を担当している方がセキュリティの知識に対して不安がある場合は、報告会の開催を推奨しています。
別途費用が発生しますが、可能です。
安全を証明するようなものは発行はしておりませんが、サイト全体を診断した場合に限り、Webサイトに記載していただくことが可能です。
基本的には改修は実施しておりませんが、当社の開発部門により対応できる可能性がありますので、別途ご相談ください。
そのようなことにもご対応できるよう、現在無料の相談サービスを準備しております。
診断結果の内容によってはお答えすることが難しいケースもございますが、 無料相談サービスのリリース後にぜひご活用くださいませ。
診断期間中は日々の診断終了時に、診断を完了したリクエスト数や検出した脆弱性名をメールにて連絡しております。
また、緊急度の高い脆弱性につきましては診断完了直後に「速報」という報告書を送付しております。