LAMP / LAPP システム開発 - スプライン

スプラインは情報技術をビジネスに生かすためのお手伝いを致します。

セキュリティ評価サービス Q&A

弊社にて実施可能なセキュリティ評価サービスのQ&Aです。

セキュリティ評価サービスのページに戻る

スプラインのセキュリティ評価サービスを実施すれば、セキュリティ的な問題はすべて解決すると考えてもよいですか

いいえ

残念ながらそのような結果にならない事が多いと考えられます。弊社でチェックするのは主にSQLインジェクションやクロスサイトスクリプティング等、WEBアプリケーションに与えられる入力パラメーターに注目したセキュリティ評価になります。OSレベルで存在しているセキュリティホールや、ファイヤーウォールの設定ミスから生じるセキュリティホールについては、調査の対象外になります。また、調査対象となるSQLインジェクションやクロスサイトスクリプティングにおいても、100%洩れなく瑕疵が発見される事を保証する物ではありませんので、予めご了承下さい。

調査の結果、セキュリティホールが見つからなくても料金はかかりますか

はい

ウェブアプリケーションのセキュリティに高い技術と知識を持つ開発会社が開発したシステムでは、弊社の調査ではセキュリティホールを発見できない結果になる事も、もちろんあります。その場合もレポートをお送りし、どのような調査を行ったかをお知らせ致します。

調査が完了するまで、どのぐらいの期間がかかりますか

サイトの規模によって、大きく変わります

事前調査の後に大まかな納期をお知らせし、1次調査の終了後にレポート提出日をお知らせ致します。

2次調査の料金はいくらぐらいになりますか

2次調査が必要ない場合もあります

サイトの規模に応じて2次調査の料金は大きく変わります。残念ながら事前調査の段階では2次調査のお見積りが不可能なため、原則として1次調査終了後にお見積り致します。ただしサイト内の動的ページが少ない場合には、2次調査がいらない場合もあります。その場合は1次調査終了時に簡易レポートをお渡しし、調査を終了致します。

当社のサイトにはセキュリティホールがあると思いますか? どのようなサイトに、セキュリティホールがある可能性が高いですか?

サイトを見せて頂かないと分かりませんが、ある程度の傾向は存在します

クロスサイトスクリプティングやSQLインジェクション等のセキュリティホールは、ほんのわずかなミスから発生する事もあります。そのため、銀行等の重要な機関のWEBサイトにも、存在している事があります(2006年時点)。よってすべてのサイトで疑ってかかる必要があると言えるでしょう。特にテスト仕様書に基づくテストが行われなかった開発や、納期に追われて十分なテストや検収を行わずにリリースしてしまった開発、また開発スタッフにSE(システムエンジニア)が不在で、ただ一人のプログラマによって開発が行われた場合等は、より注意する必要があると思われます。またサイトの内容としては、ユーザーにHTMLによる文字装飾を許可している場合や、JavaScriptの利用を許可している場合、パスワードの入力無しにログインできる仕組みを提供している場合等には、クロスサイトスクリプティングに対し、極めて注意深く対応する必要があります。弊社の事前調査ではサイトの利用状況や開発段階における開発会社様とのやり取りをお客様からヒアリング(聞き取り)し、セキュリティホール発生要因の大まかな可能性を探ります。事前調査は無料ですので、是非お気軽にご相談下さい。また、ご自分でセキュリティ評価を行ってみたいお客様はWEBセキュリティ自己評価ツールをご利用下さい。

当社ではWAF(WEBアプリケーションファイヤーウォール)を導入しています。WAFを利用していれば、クロスサイトスクリプティングやSQLインジェクションに対する問題はクリアしていると考えてよろしいですね

いいえ

WAFは攻撃に利用されやすい入力を遮断するシステムであり、クロスサイトスクリプティングやSQLインジェクションへの耐久力を強め、システムのセキュリティを高めます。しかし、WAFでは防ぎにくい攻撃も存在します。たとえば単純な数値であり、WEBアプリケーションにとって正常な入力はWAFで遮断するのが困難です。しかしこのような場合でもWEBアプリケーションによくない動作をもたらす入力が存在しますので、WAFだけで入力パラメーターに関連するセキュリティホールをすべて無くす事は難しいのが現状です。ただしWAFが大きな力を発揮する、有用なシステムである事に変わりはありません。

当社のお客様に対し「セキュリティは完璧です」と自信を持って言いたいと思っています。そのために必要な事はなんですか?

ありません

ユーザーに安心してサイトを利用してもらいたいと思うのは、サイト運営者なら当然の事です。また、実際に「セキュリティは完璧です」と謳っているサイトは沢山あります。しかし、営業トークレベルの話しと技術的考察はまったく別の次元であり、平均以上のスキルを持つほとんどすべての技術者は、いかなる対策を行った後にも「セキュリティは完璧になりました」とは言わないはずです。残念ながら完璧なセキュリティ体制を構築する事は、WEBというシステムでサービスを提供する以上、限りなく不可能に近いと考えるべきです。よってビジネスの内容に応じた、適切なセキュリティ投資を行う事が重要だと考えられます。また昨今は住基ネットやWinny等の問題を通して一般の方のセキュリティ意識も高まってきました。それに伴い、完璧なセキュリティが存在しない事も、広く認知されつつあります。この点を考えても「完璧です」というフレーズでユーザーの関心を買うよりも、競合他社のセキュリティ対策を研究し、その上で自社の優位性を具体的にアピールする方が良いのではないでしょうか。「セキュリティは完璧です」と謳う場合、不信感を抱くユーザーが少なからず存在する事と、なんらかのセキュリティホールが見つかった時のリスクを十分考慮して下さい。

サイトではなく、当社の技術者の診断をして頂きたいのですが可能ですか

はい

お会いしてヒアリング(聞き取り)をする事で、その方のセキュリティに対する大まかな理解度と、実際に行われている対策内容を確認する事が可能です。詳細はお問い合わせ下さい。

ASPやJavaのサイトは調査できますか

いいえ

現在、PHPおよびPerlによって構成されたサイトのみ、対象とさせて頂いております。またデータベースについても、原則としてMySQLとPostgreSQLのみを対象とさせて頂きます。

Winnyによる情報漏洩について調査して頂けますか

いいえ

Antinny等のWinnyネットワークを悪用するワームへの対策は、主にデスクトップPCに必要な物です。弊社のセキュリティ評価サービスは、サーバーアプリケーションのための物です。

その他にもお尋ねしたい事があります

以下のフォームをご利用下さい

このページで取り上げて欲しいご質問がありましたら、以下のフォームから送信して下さい。掲載の可否はお約束できませんが、当社サービスに関連する事に限らず取り扱わせて頂きます。ご依頼に関するお問い合わせの場合は、ご依頼フォームよりお願い致します。

セキュリティ質問フォーム
メールアドレス
質問内容


LAMP / LAPP システム開発 - スプライン