1. Symantec/
  2. SSL情報センター/
  3. 脆弱性アセスメントの仕様詳細について

脆弱性アセスメントの仕様詳細について

脆弱性アセスメントの負荷について

  • ウェブページの作りや利用しているアプリケーションによって負荷は変化します。
    • 外部リンクが多くCGIなどのアプリケーションがないウェブサイトではテスト項目も少なくなるので負荷も少ない。
    • ウェブアプリケーションが複数存在し、データベースを配するウェブサイトはテスト項目が増える。
    • 重大な脆弱性が発見された場合は、計1000ページのアセスメントを行うため負荷は増える。
  • 数時間掛けてゆっくりアセスメントするので、負荷は限定的です。

(例)スキャン実績の一例※

項目 詳細
アセスメント実施時間合計 02:03:02
トランザクション数 6608
平均TPS(秒あたりのトラフィック) 0.895

※ 上記例は、一例の実測値を目安として示すもので、負荷の平均値を示したものではありません。
また、重大な脆弱性が発見されていないため200ページでのアセスメントの負荷になります。


脆弱性アセスメントのIPの公開

  • ウェブページの作りや利用しているアプリケーションによって負荷は変化します。 <
  • 負荷上昇時の対策やファイアウォール設定の目的でアセスメントサーバのIPアドレスを公開しています。
    <https://knowledge.symantec.com/jp/support/mpki-for-ssl-support/index?page=content&id=SO23908>
    • 出来る限り負荷をかけない仕様になってますが、もし負荷がシステムへ影響を与えるようなら、アセスメント中でも公開されているIPにブロックを掛けることが可能です。
    • 上記とは逆に、アセスメントがファイアウォール、IPSでブロックされる場合にも、IPアドレスの設定でアクセスを許可していただけます。

脆弱性アセスメントの詳細

脆弱性アセスメントは、ウェブ上の「脆弱性アセスメントサーバ」から、お客様のウェブサイトの脆弱性をアセスメント(診断)するサービスです。 その為、外部からアセスメントができる範囲で、ウェブアプリケーションやウェブサービスの弱点を見つけ出します。

外部から診断をする際に、まずファイアウォールと公開されているウェブサーバをアセスメントします。

脆弱性アセスメントサーバ群
No. アセスメント項目 アセスメント例
1. 通信に関する脆弱性
(Communication)
  • SSLサーバ証明書の期限切れ
  • コモンネームの不一致
その他の脆弱性
(Other)
  • ポートスキャン(不要なポートが空いていないか)
2. OSに関する脆弱性
(Local)
  • OSのバージョンチェック
リモートアクセスに
関する脆弱性
(Remote Access)
  • telnet/ssh/ftpのデフォルトパスワードチェック
  • 脆弱性のあるFTPサービスのチェック

※OpenSSL 1.0.1系の脆弱性 (OpenSSL Heartbleed vulnerability) や、GNU bashの脆弱性を利用した攻撃(CVE-2014-6271)も検出できます。


次に公開されているウェブサイトのアプリケーションやそれを介して運用されているデータベースの脆弱性を見つけ出します。


脆弱性アセスメントサーバ群
No. アセスメント項目 アセスメント例
3. ウェブ関連
  • ウェブサーバのバージョンチェック
  • ウェブサーバの設定チェック
4. ウェブアプリケーション
に関する脆弱性
(Application)
  • アプリケーションサーバのバージョンチェック
  • SQLインジェクション/クロスサイトスクリプティングの脆弱性チェック
  • Javascriptのチェック
5. データベースに関する
脆弱性(Database)
  • データベースに関する脆弱性チェック

その際に、ウェブアプリケーションの脆弱性を確認するために、検証コードをウェブに対して投げてウェブの反応から判断します。

脆弱性アセスメントサーバ群

More Information

お問い合わせ

SSL 製品ご購入のお問合
わせ

0120-707-637
月~金 9:30~17:30
祝日、年末年始の休業期間除く

申請・技術的なお問合わせ

お問い合わせフォーム

SSL関連情報はこちら 購入方法やSHA-2対応など様々な情報をご覧頂けます
SSLの製品/価格比較
SSLの解説資料 技術資料やカタログ、無料セミナー情報
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube