診断後は削除や修正を

それでは、診断実行の進め方を上記のお悩みに回答する形でご紹介します。
1)脆弱性診断の決定
・Webの脆弱性診断ってどうやるの?/どのWebサイトを見たらいいの?
社内にWebデザイン専門の部門がある場合ならば、オープンソフトを利用して自前で診断を行うことが可能です。そして、脆弱性診断を実行するWebサイトは個人情報を扱っているWebサイトから段階を追って行っていく方法がよいでしょう。Webサイトに関わる作業をアウトソーシングしている場合は、弊社のようなサービスを提供している会社に問い合わせをすることをお勧めします。

2)脆弱性診断の実行
・どれくらいの費用がかかるの?/いつ診断したらいいの?
診断に関わる費用は、Webサイトのページ数に比例します。また、診断時間も診断するページ数によります。一般的には、丸1日から3日程度はかかります。そして診断を実行する時間帯ですが、ほとんどのお客さまは営業時間外、もしくはメンテナンス作業期間などに行っています。

3)診断後の作業
・知らないWebサイトが見つかった/脆弱性が見つかった!どうやって直したらいいの?どこから直したらいいの?
診断結果後の対処についてですが、まず管理していないWebサイトの存在を知るといったお話をよく耳にします。このようなWebサイトに関しては即削除をお勧めします。歴史が長い企業ほど、昔のWebサイトがそのまま放置されていたりします。
次は、見つかった脆弱性への対処の仕方についてです。各脆弱性により、その対処方法は異なります。診断サービス会社に対して、対処方針と方法を相談することをお勧めします。最後に、どこから手を付けるか? もちろん危険性の高い脆弱性が発見されたWebサイトから随時修正作業を行ってください。
なお、アライドテレシスの診断サービスでは脆弱性の危険度と直し方(How to Fix)をご提示することが可能です。
・脆弱性対策を行った! もう安全か? またチェックする必要があるか?
この点は非常に重要です。修正箇所の再チェックは必ず行ってください。修正方法が間違っていたために、脆弱性が再び発見されるケースが多々あります。
アライドテレシスの診断サービスでは、契約期間中ならば再チェック(再診断)を何度でも行うことが可能です。

いかがでしたか? あなたの会社のWebサイトは大丈夫ですか?
・現在運用しているWebサイト
・開発中のWebサイト

ぜひ、脆弱性診断を行ってみてください。開発中のWebサイトで脆弱性をなくすことができれば、攻撃を受ける可能性は非常に低くなります。ですが、診断は定期的に行う必要があります。攻撃側の手段は常に進化しています。一度、診断結果がOKになっても半年後も大丈夫とは限りません。

今回は外側からの攻撃に対するトピックでした、次回は内側からの攻撃に対するお話しをしていきたいと思います。

(了)