Web担のセキュリティ診断を受けてみた

2009.04.01

IT・WEB

Web担のセキュリティ診断を受けてみた

安田 英久
株式会社インプレスビジネスメディア Web担当者Forum編集長

株式会社ラックさんの「Webセキュリティ診断サービス・初診コース」を受けてみました。セキュリティ診断が気になる人に、どんな風に診断がされるのか、その流れをレポートしてみます。今回も長めのコラムですいません。

ラックさんが運営しているセキュリティ監視センターが発表した観測レポートによると、2008年は「SQLインジェクション」という手口による攻撃が非常に増加したとのこと。SQLインジェクションは某価格比較サイトもやられた手口で、これにやられると、Webサイトで利用しているデータベースから情報を引き出されてしまうもの。場合によっては大規模な個人情報の漏洩などにつながってしまいます。

サイトで使っているCMSやフォームなどのシステムが、攻撃されても大丈夫な作りになっていれば、被害を被ることはないのですが、意外と穴が残っていたりするものなのです。Web担でも登録ユーザーなどの個人情報がデータベースに保存されているため、セキュリティ診断を受診してみました。

診断の流れ

今回受けたセキュリティ診断は「初診コース」という、1ドメイン名10URLまで診断してもらい、レポートを受け取るもの。申し込みから診断、結果の送付まで、基本的にオンラインでのやりとりで済みますが、今回は、結果の解説もしてもらえる報告会オプション込みでお願いしました(お値段は、報告会なしなら6万3,000円、報告会ありなら9万8,000円)。

まずは申し込み。ラックさんのサイトから見積もりをダウンロードして社内の決裁を得たら、診断してほしいサイトのURLと診断希望日などの情報を専用の申し込みフォーム(問診票)に入力します。問診票を送信すると、そのまま自社用の請求書が表示されますので、それを印刷して支払いを完了します(アマゾンで購入する場合は問診票を入力してから購入)。

次に実際の診断。支払いが完了すると、指定した診断希望日時に、ラックさん側の担当者さんがセキュリティ診断を行います。この際に、擬似的に外部からセキュリティ攻撃がされる形となり、申し込みフォームなどが送信されますので、情シスの人やフォームの送信結果を受け取る人に連絡しておかないと大騒ぎになってしまいます。

チェック対象は、フォームやスクリプトが動作している部分。問診票でサイトのURLだけ伝えておけばラックさんのほうでポイントを見つけてチェックしてくれますが、今回はあらかじめチェック対象を伝えておきました。

そして結果報告。診断が終了すると、まもなくメールで診断結果報告書のPDFが届きます。この報告書の印刷されたバージョンが、報告会がある場合は報告会の際に、報告会を頼んでいなければ後日郵送で、手元に届きます。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

安田 英久

株式会社インプレスビジネスメディア Web担当者Forum編集長

企業のウェブサイト活用やウェブマーケティングに関するメディア「Web担当者Forum」(http://web-tan.forum.impressrd.jp/)を運営しています。

フォロー フォローして安田 英久の新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。