セキュリティ診断/ペネトレーションテストクローリングサービス
クローリングサービスは、貴社のWebサイトや情報システムの現状を徹底的に把握し、情報システム部門に代わってWebサイトの状況を確認し、詳細な報告を提供します。
例えば、公開時のテストサイトが放置されている状況や、管理情報の不足を的確に特定し、セキュリティ上の脆弱性も厳密にチェックします。
Webサイトの安全性を向上させ、情報の透明性を高め、適切な対策のサポートを行います。
クローリングサービスでわかること
- 貴社Webサイトに関連するサブドメインの探索・洗い出し
- 外部公開情報の登録状況確認
- 外部に公開されているWebサイトのセキュリティリスクの確認
- 問題が発見された対象への対策・指示
- 外部からWebサイトが「どのように見えているか」を一括チェック
クローリングサービスの特長
貴社の資産を把握できる
資産を把握するために、クローリングを実施し、貴社に関連するWebサイトやその他のオンライン公開情報を詳細に特定・収集します。
貴社のデジタル資産やオンライン活動に関する包括的な情報を収集し、戦略的な意思決定や資産の最適な活用に役立つデータを提供します。
懸念点を発見できる
セキュリティチェックを行い、情報資産の懸念点を指摘いたします。
Webサイトに潜在的なセキュリティ脆弱性があるかどうかをスキャンし、セキュリティ上のリスクを特定します。
診断経験が豊富な診断士による確かな検出力
最新のトレンドや様々な攻撃手法を熟知した診断員が対応致します。診断経験はもちろんのこと、多種多様な開発言語やフレームワーク、ライブラリの知識も備えています。
詳細でわかりやすい診断結果報告書の提出
検出した脆弱性に対して、どんなリスクが存在するのかをわかりやすく説明 し、改修に必要な対策方法を詳細に記載することで、Webサイトのセキュリティレベルを高めることに役立てます。また、重大な脆弱性が検出された場合は速報でお伝えすることで、改修作業をスムーズに行うことが可能 です。
柔軟で丁寧なプロジェクト進行
開発の進捗状況に合わせた診断スケジュールの変更やオンサイトでの作業にも対応可能で、診断のご依頼が初めてのお客様にも安心 して頂ける丁寧なプロジェクト進行を心がけます。
専門的なアフターフォロー
弊社は、サイバーセキュリティ分野での専門的なソリューションサービスを提供しており、問題解決の豊富な経験があります。
必要に応じて脆弱性診断を実施。社内運用ルールの整備などお客様の策定も行えます。
弊社が提供するクローリングサービスの強み
貴社に関連するWebサイトやシステムの探索とセキュリティチェックを行い、現在の状況を把握することが可能です。
こんな診断あるかも…
- 手法
-
ツールのみの診断
ツール診断では、得意・不得意がある
お任せ
ください!
レオンなら!
- 弊社が独自開発した探索手法
-
セキュリティベンダーで培った知見
実際に攻撃者が行う手法の調査・研究を通じて、日々新たな手法を追加しています。
フィッシングサイトなどのリスクに対する注意喚起なども行うことが可能です。
こんな診断あるかも…
- リソース
-
下請け・外注
その分高くなったり、 柔軟性の低下が気になる
無理も
聞きます!
レオンなら!
- 自社完結のエンジニア
-
急な状況の変更にも柔軟に対応
レオンは自社のエンジニアのみで診断を行うため、スケジュールがギリギリだったり、急な状況の変更にも柔軟に対応します。
まずはお気軽にご相談ください。必要な診断項目などをご提示いたします。
弊社のクローリングサービスはこんな方におすすめです
- どこから手を付けて良いか分からない
- 自社Webサイトに不安がある
- セキュリティの専門知識が不足している
- 前回の診断から1年以上が経過している
- Webサイトのセキュリティ診断を行ったことがない
- 定期的なペネトレーションテストを行いたい
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- 予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
クローリングサービスのよくある質問
クローリングについて
- どのような手法でサイトの棚卸をするか教えてください。
-
ドメイン情報などを基にした、弊社が独自開発した探索手法に基づきます。
詳細な内容についてはノウハウになる為非開示となります。ご了承ください。
また、実際に攻撃者が行う手法の調査・研究を通じて、日々新たな手法を追加しています。
- 「Webサイト」の定義について教えてください。
-
Webサイト=FQDNと定義しています。
棚卸した結果はFQDN単位で提示いたします。このため、例えば調査対象として、
http://abc123.com
http://abc123.com/jp
http://abc123.com/us
のように、1FQDN上に異なるURL Pathとして複数サイトを配備されている場合、本サービスでは報告書上、FQDN「abc123.com」の1行に集約して結果を表示します。
- モバイルサイトも棚卸対象になりますか。
-
基本的には本サービスはPCサイトのみを探索対象としており、モバイルサイトには対応していません。
具体的には、User-Agent や 携帯電話固有識別情報 を識別してモバイル用ページを表示するサイトに対応しておりません。一方、上記仕様でないモバイルサイトは調査可能です。
- アクセス元IP制限を設定しているWebサイト(IPアドレス)も発見されるのでしょうか。
-
基本的には発見されません。
本サービスはインターネット上に公開されているWebサイト (IPアドレス) のみを探索対象としています。
- ホスティング・ASP・SaaSを利用したWebサイトも発見されるのでしょうか。
-
発見される場合と、発見されない場合があります。
具体的には貴社に関連しているサイトで、外部に情報が公開されている場合は発見されます。
セキュリティチェックについて
- 対象にホスティング・ASP・SaaSを利用したWebサイトが含まれますが、事業者への事前申請は必要ないでしょうか
-
いいえ、必要ありません。
通常、脆弱性診断を実施する場合は当該事業者に対して事前申請が必要ですが、本サービスではあくまで外部に公開されている情報収集に留まるため、このような対応は不要です。
報告書について
- 報告書の対応言語を教えてください。
-
日本語版・英語版に対応しております。
両言語それぞれの報告書が必要な場合は追加料金をお申し受けします。
全般
- 参考価格を教えてください。
-
範囲により変動しますので、都度お見積りとなります。
- クローリングをした結果、全くWebサイトが見つからなかった場合はどうなるのでしょうか。
-
基本的にはそのような事態にはなりません。
本サービスではお見積り時に一定の事前調査を行い、棚卸想定数を事前に提示申し上げます。
仮にWebサイトが全く見つからない、または極めて少数が想定される場合は事前にご説明いたします。
- 見積りに必要な情報について教えてください。
-
貴社にて既に管理Webサイトが一覧可能な資料があればそれをご提供ください。
そのような資料が存在しない場合、弊社にて予備調査を実施させていただきます。
お見積り作業には約2週間をいただきます。
- 収集・分析できないデータはありますか?
-
はい、クローリングサービスの特性上、収集・分析できないデータがございます。
調査範囲について
一般的にアクセス可能な範囲を収集しています。したがって、ログインページなど認証・認可が必要なページなどは分析の対象外となります。特定できる情報の精度について
外部公開情報を基に解析を行なっている為、ごく稀に諜報ツール等への登録情報が間違っている可能性もございます。
その他、ご不明な点がございましたら
お気軽にお問い合わせください。
クローリングサービス項目
以下の項目は一例です。お客様のご状況やニーズに応じて項目をカスタマイズいたします。
クローリング方法について
項目 | クローリング方法 |
---|---|
Who is 情報 | ドメイン情報を調査し、ドメインの所有者情報や連絡先情報を収集します。これは通常、Whoisデータベースから取得されます。 |
諜報ツール使用 | 特定の諜報ツールや情報収集ツールを使用して、対象のWebサイトやドメインに関する情報を収集します。 |
DNS管理情報 | DNS(Domain Name System)情報を解析し、ドメインのDNSレコードやサブドメイン情報を収集します。これにより、ネットワークインフラストラクチャの理解が可能になります。 |
Surface Web探索 | 一般的な検索エンジンやクローラーを使用して、対象のWebサイトをクロールし、公開されているページやリンクを収集します。これにより、一般にアクセス可能な情報を収集します。 |
実施内容について 簡易チェックの実施項目(例)
お客様の公開されている資産が、外部から「どのように見えているか」を一括チェックします。
実施項目 | 内容 |
---|---|
攻撃に悪用されやすいサービスの開閉状況の確認 | ファイアウォール(FW)の設定と運用状況を調査し、攻撃者が悪用できる可能性のあるサービスのポートの開閉状況を確認します。 |
Webサイトの応答情報の確認 | Webサイトからの応答を解析し、HTTPヘッダ情報、URL情報、HTML内容、Script内容などを調査し、利用されているプロダクトとバージョン情報を収集します。 |
攻撃に悪用されやすいプロダクト利用有無の確認 | Webサイトで使用されているプロダクト(例:Struts2、Struts1など)の利用の有無を調査し、悪用の潜在的な脆弱性を評価します。 |
代表的なCMS利用有無の確認 | Webサイトで代表的なコンテンツ管理システム(CMS)(例:MovableType、WordPressなど)の利用の有無を確認し、セキュリティ設定を評価します。 |
SSL/TLSの利用有無と有効期限の把握 | WebサイトでSSL/TLSが使用されているかを確認し、証明書の有効期限を把握します。これは通信のセキュリティを評価する重要な要素です。 |
外部情報収集サイトからの情報収集と外部からの評価 | 外部情報収集サイトを使用して、Webサイトが外部からどのように見られているかを確認し、潜在的なセキュリティリスクを特定します。 |
実施フロー
ヒアリング
お問い合わせいただいた項目を元に、ヒアリングを行い、クローリングのニーズと要件を理解いたします。
お申し込み
必要事項を記載し、注文書の送付をお願いいたします。
クローリング内容の棚卸し
貴社に関連するサブドメインの探索・洗い出しや、 貴社に関連するWebサイト・ドメインの探索・洗い出しを行います。
セキュリティ チェック
外部公開情報の登録状況を確認し、状況をチェックします。外部に公開されているセキュリティリスクの確認を行います。
実施結果のレポーティング
全体評価や分析を加えたレポートを提示いたします。指摘事項一覧と対策案の提示で非エンジニアでもわかりやすい報告書を作成します。
1ヶ月~で報告書提出を完了
※棚卸したサイト数により日数は増減する可能性があります
対策実施
問題が発見された場合、対象への対策・指示を行います。必要に応じて脆弱性診断を実施いたします。
定期確認・運用ルールの策定
クローリングサービスの定期的な実施を行います。貴社独自の社内運用ルールの整備を行います。