脆弱性診断サービス よくある質問と回答
脆弱性診断サービスについてよくある質問と回答をまとめております。
診断全般
- アクセス制限をしている環境に対しても診断を行っていただく事はできますか?また、WAF や IPS といった設備で保護している環境に対しても診断を行っていただくことはできますか?
どの工程においても対象サイトに接続する必要がございますが、IP アドレスなどでアクセス制限をかけている場合には、当社からのアクセスに対して許可をお願い致します。
また WAF/IPS などの防御機構が実装されている場合は、診断時は当社 IP アドレスへのブロックを解除頂くようお願い致します。防御機構によって診断リクエストがブロックされてしまいますと Web アプリケーションまで通信が到達できず、正しい診断結果を得ることが出来ません。
- 脆弱性診断でサーバー負荷はかかりますか?
実際の診断時には通常よりも多くのアクセスをツールを介して行いますのでトラフィックは増加します。
サーバー負荷をかける目的ではありませんが、診断ツールの特性上で連続したアクセスを行うこととなります。目安としましては、継続的に1Mbps ~ 5Mbps 程度のトラフィックが発生します。
なお、検査及び対象システムおよびネットワーク状況によっては、一時的に5Mbps 以上のトラフィックが発生する場合があります。
Web アプリケーション診断
- クローリングとは何ですか?
対象サイトに対して、診断員がアクセスを行い数量をカウントする作業です。
接続をするための URL、アカウント情報をご提供ください。
また網羅的に導線を確認させて頂くため、予め画面遷移に必要なデータ登録をお願い致します。- クローリングでサーバー負荷はかかりますか?
診断行為ではございませんのでサーバーへ負荷がかかったり、攻撃をするようなアクセスを行うことはありません。
診断員が手動でアクセスを行い正常な操作のみを行いますので、通常ユーザが利用しているのと差異はございません。- リクエスト数とは何ですか?
当社ではリクエスト単位(通信数)で数量をカウントさせて頂きます。
概ねアクション数(ボタン押下など操作の数量)と近似値ではございますが、システムで利用しているフレームワークなどによっても数量の増減がございます。
そのため概算でご申告頂きました数量と、クローリングにてカウントした数量では数量が変動する場合がございますのでご了承ください。
- 確定処理(コミット処理)とは何ですか?
確定処理とはデータの登録、変更、削除が実行される操作を指します。
診断対象とした場合には大量のデータ作成や削除が行われます。
登録であれば大量にデータが登録され、削除であればデータのご準備をご依頼させて頂く可能性がございます。
システムへの影響が大きいため、診断対象に含むかをご検討ください。
お見積もり
- ネットワーク診断の見積もり方法について教えてください
対象とする IP 数にてお見積もりを実施させて頂きます。
夜間帯での実施、休日対応、現地作業(オンサイト)などのご要望がございましたらお申し付けください。
ご依頼の際には当社担当者より既定の入力書式をご案内させて頂きます。- Web アプリケーション診断の見積もり方法について教えてください
当社ではリクエスト単位にて作業量を提示させて頂きます。
技術者が対象サイトに通常のアクセスを行い、数量をカウントさせて頂きます。(クローリング)
そのため事前に対象サイトの URL、アカウント情報などをご提供いただく必要がございます。サイトの開発中または事前アクセスが出来ない場合にはご申告頂きました内容にて概算でのお見積もりもご対応可能です。ただし、正式なお見積もりには上記クローリングが必要となります。
ご依頼の際には当社担当者より既定の入力書式をご案内させて頂きます。
- スマートフォンアプリ診断の見積もり方法について教えてください
当社ではリクエスト単位にて作業量を提示させて頂きます。
技術者が対象サイトに通常のアクセスを行い、数量をカウントさせて頂きます。(クローリング)
そのため事前に対象サイトの URL、アカウント情報などをご提供いただく必要がございます。サイトの開発中または事前アクセスが出来ない場合にはご申告頂きました内容にて概算でのお見積もりもご対応可能です。ただし、正式なお見積もりには上記クローリングが必要となります。
ご依頼の際には当社担当者より既定の入力書式をご案内させて頂きます。