AeyeScanで脆弱性診断を始めるにあたって、事前に前提条件や注意事項の確認、対象システムの設定変更、
関係者への周知を行います。
目次 |
ご利用いただくにあたっての前提 |
許可を得ていない環境に対してAeyeScanを使用しないこと
AeyeScanでは診断対象のシステムに対して、疑似的な攻撃を行います。
許可を得ていない環境に対して使用した場合、不正アクセスと見なされる
恐れがありますのでご注意ください。
ドメインアクティベーションの準備
ドメインアクティベーションとは、診断対象システムが
お客様所有のものであることを確認するための手続きです。
設定方法は、「Step4ドメインアクティベーション」をご参照ください。
※アクティベーションスキップのオプションが有効な場合、本作業は不要です。
巡回可能な条件を確認する
診断対象のシステムが、以下条件に合致していることをご確認ください。
(1)インターネット経由でアクセスが可能
(2)最新版のGoogle Chromeからアクセスが可能
(3)入力フォームは日本語または英語に対応
(4)各種Web認証を使用していない、あるいは一時的に解除できる
(5)通信規格にWebSocketを使用していない
その他、詳細についてはFAQ>巡回の
「巡回ができない(難しい)サイトはありますか?」をご参照ください。
注意事項 |
脆弱性診断は開発環境あるいはステージング環境で実施
AeyeScanはサーバーやサービスを意図的に停止させるような
操作は行いませんが、アプリケーションの設計やサーバーのスペックによっては
CPU負荷が上昇したり、サーバーやサービスが一時停止したりする可能性があります。
特別な理由がない限りは本番環境ではなく、開発環境やステージング環境での
診断を推奨しています。
※サーバーへの負荷はおおよそ10リクエスト / 1秒です。
診断の実施を望まない機能の除外設定
本番環境での診断が避けられない場合などで、<例>のような診断による影響を
懸念される場合、該当機能での巡回・スキャンを除外することができます。
設定方法はFAQ>巡回の「管理画面を巡回・スキャンの対象から除外できますか?」をご参照ください。
<例>
診断対象機能 | 懸念事項 |
| ECサイトの商品を購入する機能 | 大量の商品を購入する可能性 |
| ユーザーアカウントなどデータを削除する機能 | 登録済みのアカウントを削除する可能性 |
| メール送信を伴うお問い合わせ機能 | 大量のメールが送信される可能性 |
| SNS、掲示板などの書き込み、データの登録機能 | 不正な文字を大量に登録する可能性 |
ファイルのアップロード機能 | 大量のファイルが作成される可能性 |
バックアップの取得
診断により、対象システムのデータが変更される可能性があるため、
システムやデータのバックアップを取得することを推奨しております。
対象システムの設定変更 |
不正侵入検知・防御システム(IPS / IDS)や、
Webアプリケーションファイアーウォール(WAF)でのAeyeScan除外設定
対象システムにおいて送信元の通信を遮断するような機器を導入されている場合、
アラートが大量に発生し、診断結果が正しく取得できない可能性があります。
事前にAeyeScanのアクセス元IPアドレスを除外設定するようお願いいたします。
設定方法はFAQ>基本情報の「Firewallなどで、アクセス制限をかけています。
アクセス元IPアドレスを教えてください。」をご参照ください。
連続投稿の禁止制限を解除
フォームの連続投稿の禁止など、スパム投稿を対策されている場合、
ご利用サービスのマニュアル等をご確認のうえ、制限を解除してください。
例:スパイラル株式会社様のSPIRAL®の“連続投稿の禁止”解除方法
https://support.smp.ne.jp/manuals/web/form/
IPアドレス制限の解除
対象システムにおいて、IPアドレスのアクセス制限をかけている場合は
事前にAeyeScanのアクセス元IPアドレスを除外設定するようお願いいたします。
設定方法はFAQ>基本情報の「Firewallなどで、アクセス制限をかけています。
アクセス元IPアドレスを教えてください。」をご参照ください。
CAPTCHA認証、多要素認証、reCAPTCHAなどの解除
ツールからのアクセスを拒む仕組みがある場合、診断期間中は機能を外してください。
関係者への周知 |
脆弱性診断実施の周知
トラブルの未然防止のため、以下を参考に関連部署やシステム管理担当者様に
診断実施の周知を徹底するようお願いいたします。
・AeyeScanのIPアドレス
→FAQ>基本情報の「Firewallなどで、アクセス制限をかけています。
アクセス元IPアドレスを教えてください。」をご参照ください。
・診断日程
・対象システムにデータ登録 / 更新 / 削除される可能性 等
メールの大量送信の可能性
お問い合わせや資料請求など電子メールの送信が伴う機能の場合、
診断することで大量(数千件)のメールが送信される可能性があります。
実施の場合は、関係部署へ<周知事項>をご連絡ください。
<周知事項>
・診断期間中、大量の電子メールが送信される可能性があります。
・診断によるメールには、問診票(診断前準備チェックシート) の
「AeyeScan 診断サイト問診票」内「別紙_入力値一覧」に記載される
文字列が含まれます。通常の電子メールと区別される際にご参考ください。
脆弱性が存在した場合のファイル生成の可能性
診断で脆弱性が発見された場合、以下文字列を含むファイルが作成され、
ページレイアウトが崩れる可能性があります。
・aeyescan${ランダムな8桁の数字}.txt
・aeyescan${ランダムな8桁の数字}.php
ディスク容量を圧迫する可能性
AeyeScanでは診断対象のシステムに対して、疑似的な攻撃を行うため
Webサーバ、アプリケーション、データベース、メールサーバなどが
エラーログを大量に出力する可能性があります。
エラーログが大量(数GB)出力された場合でもディスク容量が不足しないように
十分な空き容量を確保してください。
また、開発環境等で、必要以上にログを記録する設定になっている場合、
ログの取得レベルを変更することもご検討ください。
サーバ再起動について
診断中にサーバを再起動すると、診断結果が正しく取得できない可能性があります。
基本的には診断中にサーバ再起動は行わず、どうしても必要な場合は、事前に
サポート窓口までご連絡いただくようお願いいたします。
フォーム入力値の確認
AeyeScanによる登録フォームへの入力値については、問診票(診断前準備チェックシート) の
「AeyeScan 診断サイト問診票」内 「別紙_入力値一覧」をご参照ください。
スタートガイド Step一覧 |
準備フェーズ | |||
 |  |  |  |
巡回・スキャンフェーズ | 結果確認フェーズ | ||
 |  |  | |