セキュリティ試験【ペネトレーションテスト】脆弱性 診断 レポート 作成

ペネトレーションテスト
セキュリティ試験で脆弱性 診断
レポートで結果報告！

---

webサイトを作ったり、webアプリケーションを作ったり、運用したりすることは、昨今のマーケティング事情を考えると、よくあると思います。内容の精査や仕様の確認はするケースは多いと思うのですが、意外と、セキュリティ的に大丈夫か？という観点のテストはされないことが多いです。セキュリティテストをしない理由は、さまざまだと思いますが、予算がないとか、時間がないとか、そもそも、アタックなんて、されない・・と思っていることもあります。ですが、1番の課題は、「やるべきことだと思っていない」ことだと思います。Saas（たとえば、shopify）などを使っている場合は、意識しなくてもいいかもですが、オープンソースをベースにしたシステムやwebアプリ、スクラッチ開発したものであれば、必要なアクションです。

考えてもみてください。ホームページやwebアプリがのっとられたら、被害も大きいです。特に取り扱い金額が大きければ、すぐに数百万、数千万の被害になります。信用はプライスレスですからね。それに、そのwebサイトに個人情報があれば、個人情報漏洩になりますし。

ということで、プロジェクトをしっかり進めるためにも、セキュリティテスト、今回ご紹介するのは、脆弱性のでは、ペネトレーションテストをしてみませんか？

ペネトレーションテスト（略称 ペンテスト）とは、システムやネットワークなどのセキュリティを評価するためのテストの方法の１つです。実際の攻撃者（アタックをする人）が行う可能性のある攻撃をシミュレーションしてテストします。ペネトレーションテストの目的は、脆弱性を特定し、それに対する対策を講じることです。

クロトでは、このペネトレーションテストをシステムの重要性、サイトの利用人数、そして、リスクレベルを鑑みて、定期的な実施をおすすめしています。なぜなら、webサイト、webシステムを取り巻く環境は、常に変わっていくからです。サーバ内のアプリケーション、ネットワーク、サーバ内のプログラム、バッチ、Google、広告タグ、cookieの処理、Wordpressなどなど、いろいろな要素で変わってきます。最初にペネトレーションテストを実施したから、もう安心。。ではありません。そのため、定期的、たとえば半年に１回のセキュリティテストを推奨しています。

でも、効率も悪いし、人件費もかかる。それに、ペネトレーションテスト自体のコストがね。。。というケースもあるので、基本的には、セキュリティ試験のツールを活用してのテスト実施をおすすめしています。これによって、継続的、反復的に、セキュリティテストができるようになります。

ペネトレーションテストによって、調べられる項目としては、以下があります。

• インジェクション攻撃（SQL、OS、LDAP）
• クロスサイトスクリプティング（XSS）
• クロスサイトリクエストフォージェリ（CSRF）
• パストラバーサル（ディレクトリトラバーサル）
• コマンドインジェクション
• ファイルアップロードの脆弱性
• セッション管理の問題
• 認証の欠陥
• セキュリティヘッダーの欠落（CSP、X-Frame-Options、HSTS等）

などです。詳しい内容については、ページの後段でも記述をしておきます。

ペネトレーションテストは、セキュリティの脆弱性を見つける強力なセキュリティ対策の方法なのでおすすめしています。

昨今のセキュリティに関する損害や、お問い合わせのニーズを鑑み、株式会社クロト では、このような、セキュリティテストのサービスも提供を強化しております。15年以上の歳月にわたって、多くの企業様、団体様に、システムやwebサイトの構築・運用サービスなどを提供してきた力を元に、セキュリティへの配慮も行っています。お客様、ご担当者様にとっての安心・安全を少しでもお届けできるようにと考えております。

SI（システムインテグレータ）や、web制作会社とは、一線を画しているのは、webシステム開発の知見・ノウハウを多く保有しているうえに、集客などでも、多くの実績、事例を積んできていることです。システム開発において、過去には、数万～数十万単位の会員DBを持つサイトを統合するプロジェクト、基幹システムの再構築プロジェクト、超大型CMSでのホームページのリニューアル、サブスク型の販売システムの開発など、さまざまなシステムの設計、設定、開発などもご支援してきました。Google、Yahooの検索結果の上位表示がされるようなページを量産できるシステムも構築してきました。

また、株式会社クロトは、エンタメ、金融、製薬、食品、飲料、アパレル、不動産、スポーツ、人材、セキュリティ、メディア、VCなど、各種業界のwebサイト、システム、キャンペーンなどの開発をしてきているので、業界知識も幅広いです。気づきや、プラスアルファのサポートサービスなどもあるためか、９０％以上のお客様が、リピートでご依頼くださっています。継続してお取引いただけている理由は、スピードと、真面目にコツコツと業務を遂行してきたことが背景にあると思っています。企業や団体のご担当者のウェルビーイングにもつながっている事例もあります。たとえばｍwebメディア運営企業様。システムを導入した結果、残業が圧倒的に減りました。企業は残業代のコストが削減され、スタッフは、健康的な生活へと改善。システム開発費と比べると、圧倒的に、人件費削減ができて、コスト圧縮につながった事例があります。

クロトは、データを活用した動的なシステムの開発をご支援することが多い企業ではあります。ＣＭＳの開発やカスタマイズもそうですが、そのほかにもポータルサイトや、業務システム、予約システム、ポイントシステム、オウンドメディア、ECサイト制作などのご提供をしてきました。作って終わりではなく、運用もご支援しております。

セキュリティ試験【ペネトレーションテスト】 のご依頼、ご相談は、お問い合わせフォームより、御社のサービス、商材、URL、要望、導入目的、ご予算、希望納期、オンラインでのMTG希望など、具体的な情報を記載のうえ、ご送付ください。明文化が難しい場合は、オンラインMTGでのすり合わせも可能です。お問い合わせフォームより、お気軽にお声がけください。

NDA（機密保持契約）の締結も、もちろん可能です。業務をきちんと進めて、「三方良し」となるように、一緒に、未来へと進めていきましょう！志は高くです。

---

セキュリティ試験【ペネトレーションテスト】 サービス概要

セキュリティ試験【ペネトレーションテスト】のサービス概要をご紹介します。

セキュリティ試験【ペネトレーションテスト】は、テスト環境・検証環境のURLをいただき、テストをするケースが多いです。もちろん、公開前の本番環境であれば、そのURLをいただき、そのURLを対象として、セキュリティ試験【ペネトレーションテスト】を行えます。

試験では、負荷がかかる可能性もあるため、テスト環境・検証環境での実施をおすすめしています。

納品物としては、試験結果のレポートをクロトでまとめてご提供しております。レポートの結果に対しての深堀調査を行うことは可能です。ここらへんは、webサイトや、業務システムの開発経験もあるクロトならではのポイントですね。

以下では、セキュリティ試験【ペネトレーションテスト】の中で実施してきたことや、あわせてご提供可能なサービスなどもご紹介します。

• テスト内容の共有
• テスト結果のレポート作成
• レポート内容からの調査
• 調査結果の対策実施
• 検証環境の構築
• 検証環境へのテスト用のデータ登録
• PHPのバージョンアップ
• SQLのバージョンアップ
• OSのバージョンアップ
• 定期的な検証環境へのセキュリティ試験【ペネトレーションテスト】

など

セキュリティ試験【ペネトレーションテスト】は、webサイトが生き物であるがゆえに、その結果が変わってはきます。第3者の影響もありますし、ソースの修正を行うことで、脆弱性が発生するケースもあります。常に、新しく！ですね。

Saasツールを活用して、テストは実施できるので、基本的に、検証環境へのアクセスなどはできるようにしていただく必要があります。IPアドレス制限などがかかっている場合は、固定IPアドレスなどをお伝えしますので、おっしゃってください。

【その他】
※クラウドサーバ、VPSサーバでの展開も可能
※インフラ、検証環境、テスト環境構築などもご相談ください
追加機能もお気軽にご相談ください。

※SEO対策 に強い wordpress で、ニュースサイトの 開発 も可能。
※自社やお取引先PR用のオウンドメディア制作をする
※webや新規事業などに関する壁打ちサービスなどもご提供中です。
※サジェスト表示の対策で、社名ブランディングの強化も

---

セキュリティ試験【ペネトレーションテスト】実施のフロー、方法

【主な流れ、ヒアリング事項】
　1.実施したい内容、URLなどを教えてください
　2.環境や、業務範囲などをご相談させてください
　3.実施方法を検討して、ご提案、お見積もり
　4.御契約
　5.試験日を決めて、実施

いつ、実施するかなども決めていく必要がありますし、クロトでご用意しているペネトレーションテスト ツールでうまくいくかどうかなどの調査も必要です。

ペネトレーションテスト　ツールでうまくいく場合は、定期的な診断などは、コストをさげられるので、うまく活用していけると、セキュリティ対策としては、とってもいいです。

---

ペネトレーションテストとは

ペネトレーションテストとは、実際のサイバー攻撃をシミュレーションして、システムやネットワークに脆弱性（セキュリティの弱点）がないかを検証するテストです。

プログラム内のセキュリティ対策が実際に機能しているかを検証して、結果、重大な被害を防ぐためのリスクを事前に発見するというものです。

ペネトレーションテストの実施事項は、以下です。

• 能動的なスキャン
• インジェクション攻撃（SQL、OS、LDAP）のチェック
• クロスサイトスクリプティング（XSS）
• クロスサイトリクエストフォージェリ（CSRF）
• パストラバーサル（ディレクトリトラバーサル）
• コマンドインジェクション
• ファイルアップロードの脆弱性
• セッション管理の問題チェック
• 認証のチェック
• 情報漏洩の可能性チェック
• パッシブスキャン
• セキュリティヘッダーの欠落（CSP、X-Frame-Options、HSTS等）チェック
• Cookie属性の問題（Secure、HttpOnly、SameSite）チェック
• 情報漏洩（エラーメッセージ、コメント等）
• コンテンツタイプの問題チェック
• キャッシュ設定の問題チェック

パスワードクラックなども、試してみたりもします。

概して、ペネトレーションテストは、コストがかかります。そうすると、反復的にチェックするのに支障が出てしまいます。そこで、コストを抑えて、繰り返しできるように、ペネトレーションテストのツールを活用することをおすすめしています。

---

セキュリティ試験【ペネトレーションテスト】 よくある質問

セキュリティ試験【ペネトレーションテスト】などで、よくある質問 をまとめました

---

セキュリティ試験 実績 事例

ペネトレーションテストを含め、過去に行ったセキュリティ試験の事例、実績についてご紹介します。

• 広告代理店 企業サイト
• コスメ キャンペーンサイト
• 自動車 キャンペーンサイト
• 住宅展示場サイト
• 不動産 企業サイト
• 不動産 採用サイト
• 電鉄 情報サイト
• ホテル 予約ページ
• 観光局 キャンペーンページ
• 娯楽機器メーカー キャンペーンページ
• 調理器具メーカー キャンペーンサイト
• 広告代理店 オウンドメディア
• 食品メーカー コンテンツサイト
• 人材紹介会社 登録システム
• イベント会社 マッチングシステム
• 人材紹介会社 求人メディア
• 地域情報 研究フォーラム

など