[コラム]Web担のセキュリティ診断を受けてみた ;週刊:Web担当者フォーラム通信(情報元のブックマーク数)
Amazonでも買えるラックさんのWebセキュリティ診断サービスの受けてみたレポートが出ています!!
株式会社ラックさんの「Webセキュリティ診断サービス・初診コース」を受けてみました。セキュリティ診断が気になる人に、どんな風に診断がされるのか、その流れをレポートしてみます。今回も長めのコラムですいません。
週刊:Web担当者フォーラム通信
申込書から、見積もりがダウンロードできるんだ!これはいいなぁ。使おう(ぇ
決済用の標準価格な見積書はいいなぁ。
まずは申し込み。ラックさんのサイトから見積もりをダウンロードして社内の決裁を得たら、診断してほしいサイトのURLと診断希望日などの情報を専用の申し込みフォーム(問診票)に入力します。問診票を送信すると、そのまま自社用の請求書が表示されますので、それを印刷して支払いを完了します(アマゾンで購入する場合は問診票を入力してから購入)。
週刊:Web担当者フォーラム通信
診断終了→PDF送付だそうです。(まさか暗号化されてないとかないよねぇwwwwwwwwwww
そして結果報告。診断が終了すると、まもなくメールで診断結果報告書のPDFが届きます。この報告書の印刷されたバージョンが、報告会がある場合は報告会の際に、報告会を頼んでいなければ後日郵送で、手元に届きます。
週刊:Web担当者フォーラム通信
結論としては、Web担のサイトでは、SQLインジェクションのような、すぐに情報を抜き出したりされるような脆弱性は見つかりませんでした。ただ1か所、XSS(クロスサイトスクリプティング)の対処が漏れている部分がありました。
週刊:Web担当者フォーラム通信
報告書には、診断結果と、診断項目に関する解説や対策方法の概要などが書かれているため、エンジニアが読めばどう修正すればいいかわかる内容になっています(レポートを見て修正方法が見えないエンジニアはヤバいです)。
今回は報告会までお願いしたのですが、報告会はインプレスの会議室で1時間程度。診断結果に関する簡単な解説と、対処方法の概要や昨今のセキュリティ事情を説明していただきました。
週刊:Web担当者フォーラム通信
ラックさんによると、XSSを利用した大規模なセキュリティ事故は発生していないため、重要なぜい弱性かどうかに関しては議論があるとのこと。ぜい弱性を突く形でデータを含ませたリンクをメールや掲示板などでクリックさせるワンクッションが必要な場合はなおさらで、今回Web担で発見されたものも、そういった類の問題。
オープンソースソフトウエアにクロスサイトスクリプティングの脆弱性ですか。ラックさんもわかってても出せないですからね。(調査の秘密関係で
今回XSSのぜい弱性が発見されたのは海外のオープンソースソフトウェアだったため、ラックさんのアドバイスに従って、IPA(独立行政法人 情報処理推進機構)に届出をしました。
週刊:Web担当者フォーラム通信