Web担のセキュリティ診断を受けてみた

ラックさんが運営しているセキュリティ監視センターが発表した観測レポートによると、2008年は「SQLインジェクション」という手口による攻撃が非常に増加したとのこと。SQLインジェクションは某価格比較サイトもやられた手口で、これにやられると、Webサイトで利用しているデータベースから情報を引き出されてしまうもの。場合によっては大規模な個人情報の漏洩などにつながってしまいます。

サイトで使っているCMSやフォームなどのシステムが、攻撃されても大丈夫な作りになっていれば、被害を被ることはないのですが、意外と穴が残っていたりするものなのです。Web担でも登録ユーザーなどの個人情報がデータベースに保存されているため、セキュリティ診断を受診してみました。

診断の流れ

今回受けたセキュリティ診断は「初診コース」という、1ドメイン名10URLまで診断してもらい、レポートを受け取るもの。申し込みから診断、結果の送付まで、基本的にオンラインでのやりとりで済みますが、今回は、結果の解説もしてもらえる報告会オプション込みでお願いしました（お値段は、報告会なしなら6万3,000円、報告会ありなら9万8,000円）。

まずは申し込み。ラックさんのサイトから見積もりをダウンロードして社内の決裁を得たら、診断してほしいサイトのURLと診断希望日などの情報を専用の申し込みフォーム（問診票）に入力します。問診票を送信すると、そのまま自社用の請求書が表示されますので、それを印刷して支払いを完了します（アマゾンで購入する場合は問診票を入力してから購入）。

次に実際の診断。支払いが完了すると、指定した診断希望日時に、ラックさん側の担当者さんがセキュリティ診断を行います。この際に、擬似的に外部からセキュリティ攻撃がされる形となり、申し込みフォームなどが送信されますので、情シスの人やフォームの送信結果を受け取る人に連絡しておかないと大騒ぎになってしまいます。

チェック対象は、フォームやスクリプトが動作している部分。問診票でサイトのURLだけ伝えておけばラックさんのほうでポイントを見つけてチェックしてくれますが、今回はあらかじめチェック対象を伝えておきました。

そして結果報告。診断が終了すると、まもなくメールで診断結果報告書のPDFが届きます。この報告書の印刷されたバージョンが、報告会がある場合は報告会の際に、報告会を頼んでいなければ後日郵送で、手元に届きます。