ホームページ健康診断 - セキュリティ対策の第一歩の位置づけの脆弱性診断

ホームページ健康診断は、セキュリティ対策の第一歩という位置づけで、対象となるホームページの脆弱性を認識していただくための診断となります。診断結果は、セキュリティ対策方針の検討材料としてのご活用を想定しています。 WEB上の被害の兆候などサーバ外の調査も行います。サーバ内を対象にした診断方法については、診断技術者がホームページ内の攻撃に利用されやすいページなどを選択し、簡易診断を行います。

レポートには検出された脆弱性のみを記載するため、記載する項目がホームページによって異なる場合があります。 また網羅性を保証するものではありません。「指摘なし＝脆弱性なし」ではなく、脆弱性の組み合わせによってはリスクが発生する可能性があります。

リスクの度合いを表現するため、以下の評価基準にて採点して、脆弱性報告に記載しています。

いうまでもなく、被害に遭ってからでは損害が大きく、永遠に残る問題も発生します。ログを見ればどこのホームページも攻撃を受けていることがわかります。有名になればなるほど攻撃量が増え、委託業者や担当者が想像もつかない攻撃手法が日々考え出されています。過去の被害調査では委託業者や担当者のミスが起因することが多く見られます。

≪原因の例≫
・要件にないため存在しないセキュリティ、新たに登場してきた攻撃を防御する機能がない。
・委託業者や担当者の気づかないミス。

≪一次被害の例≫
・情報漏えい、改ざん、営業妨害が行われる。乗っ取りにより他への攻撃に利用される。
・急な対応にかかる超割り増し調査・構築費、損害賠償を支払う。
・ブラックリストに登録され、セキュリティソフトや検索エンジンで警告表示される。

≪二次被害の例≫
・流出した情報、改ざんされたページの情報、などネットから消されない事実として残る。
・何年たっても風評被害が再発する。風評被害を抑えるためのラーニングコストがかかり続ける。

ホームページの稼働に影響は与えない範囲で、攻撃者と同じように攻撃の前段階の作業を行います。さらに、SEOで集客効果を下げる等のサーバ外の攻撃、その耐性も調査します。