脆弱性診断を始めるにあたり、対象のシステムの設定変更、情報収集、関係者の方への周知が必要です。
スキャンを始める前に必要な調整事項を例示します。
■IPアドレス制限の解除
対象サイトにIPアドレスによるアクセス制限をかけている場合は
アクセス可能なIPアドレスに下記IPアドレスを設定してください。
・AeyeScanのアクセス元IPアドレス
Firewallなどで、アクセス制限をかけています。アクセス元IPアドレスを教えてください。
アクセス可能なIPアドレスに下記IPアドレスを設定してください。
・AeyeScanのアクセス元IPアドレス
Firewallなどで、アクセス制限をかけています。アクセス元IPアドレスを教えてください。
■不正侵入検知・防御システム(IPS/IDS)、Webアプリケーションファイアーウォール(WAF)への影響
IDS/IPSやWAFを導入されている場合は、アラートが大量に発生する可能性があります。
送信元からの通信を遮断するような機器等がある場合、診断結果が正しく取得できない可能性があります。
その場合は、AeyeScanのアクセス元IPアドレスを対象外に設定してください。
送信元からの通信を遮断するような機器等がある場合、診断結果が正しく取得できない可能性があります。
その場合は、AeyeScanのアクセス元IPアドレスを対象外に設定してください。
■連続投稿の禁止制限の解除
フォームの連続投稿の禁止などスパム投稿の対策が行われている場合、ご利用のサービスの
マニュアル等をご確認の上、制限を解除してください。
例えば、パイプドビッツ様のSPIRAL®の"連続投稿の禁止"解除方法は下記のURLからご確認可能です。
https://support.smp.ne.jp/manuals/web/form/
■サーバーへの影響
AeyeScanはサーバやサービスを意図的に停止させるような操作は行いませんが、
アプリケーションの設計やサーバのスペックによっては、CPU負荷が上昇したり、
サーバやサービスが一時的に停止する状態(応答を返さない等)になる可能性があります。
サーバーへの負荷は、おおよそ10リクエスト / 1秒です。
また、診断により大量のデータが登録される可能性がある場合は、
システムやデータのバックアップを取得することをお勧めいたします。
また、AeyeScanによる診断は開発環境、ステージング環境などへ実施して頂く事を強くおすすめします。
■メールの大量送信に伴う関係各所への周知
診断では、お問合せや資料請求などを繰り返し実施いたします。
お問合せが実施された際、電子メール等が送信される仕組みだと、
お問合せが実施された際、電子メール等が送信される仕組みだと、
大量(数千件)の電子メールが送信される可能性があります。
事前に関連部署等に電子メールが送信される可能性を周知することをお勧めいたします。
事前に関連部署等に電子メールが送信される可能性を周知することをお勧めいたします。
■診断の実施を望まない機能
アクセス・診断を望まない機能がある場合、それらの機能のURLをご準備ください。
AeyeScanに事前に該当のURLに対し、アクセス・診断を実施させない設定が可能です。
影響を及ぼす例
- ECサイトの商品を購入する機能→大量の商品を購入する可能性があります。
- ユーザアカウントなどデータを削除する機能→登録されたアカウントを削除する可能性があります。
- メール送信を伴うお問合せ機能→大量のメールが送信される可能性があります。
- セミナーの申し込みなど→大量の申し込みを行う可能性があります。
- SNS、掲示板など書き込み、データの登録機能→不正な文字を大量に登録する可能性があります。
- ファイルのアップロード機能→大量のファイルが作成される可能性があります。
ご準備いただいた影響を及ぼすURLをAeyeScanの巡回、スキャン対象設定に登録してください。
巡回、スキャン対象の設定方法は以下FAQをご参照ください。
■CAPTCHA認証、多要素認証、reCAPTCHAが設定されている。
ツールからのアクセスを拒む仕組みがある場合は、それらの機能を外してください。
その他、AeyeScanによる自動巡回不可能なサイト・自動巡回が難しいサイトは以下FAQをご参照ください。
■問診票
問診票はスキャンを始める前に、確認・調整が必要な項目を事前にチェックいただくための資料となります。
スキャンを実施する前にご確認ください。
問診票は以下FAQからダウンロードしてください。
■トライアルから製品版へ移行する際の注意点(ドメインアクティベーション)
アクティベーションスキップオプションをご契約いただいていない場合、
トライアル時と異なり、ドメインアクティベーションの設定が必要となります。
トライアル時と異なり、ドメインアクティベーションの設定が必要となります。
サーバにファイルを設置できるようにご準備ください。
ドメインアクティベーションの設定方法は以下FAQをご参照ください。