セキュリティトピック

脆弱性アセスメント

脆弱性とは潜在的なセキュリティ上の欠陥であり、ここを足掛かりに Web サイトの機能やデータが破壊、ダウンロード、操作される可能性があります。一般的な Web サイトには(単純なブログですら)、潜在的な脆弱性が数多く潜んでいます。

脆弱性アセスメントとは?

EV SSL/TLS 証明書またはグローバル・サーバ ID(SSL サーバ証明書の比較)を購入すると脆弱性アセスメントが無料で提供され、ウェブサイトにあるセキュリティホールとなりそうな脆弱性の多くを迅速に特定し、対策を講じることができます。

脆弱性アセスメントの内容:公開されているウェブページ、ウェブベースアプリケーション、サーバソフトウェア、およびネットワークポートの脆弱性を検出するため、毎週の自動診断をします。すぐに対策すべき「重大な脆弱性(Critical)」、および「注意を要する脆弱性(Informational)」に分類されたレポートをお届けします。

脆弱性が修復されたことを確認する際に役立つ、ウェブサイトを再診断するオプションも提供されます。

Web サイトセキュリティ

Web サイトの脆弱性

シマンテックの SSL/TLS サーバ証明書はどのようにサイト訪問者の安全を守るのですか?

 

  • SSL/TLS 暗号化は、オンライン決済を保護し、通信中のデータの機密性を保ちます。
  • 脆弱性アセスメントは、ウェブサイトから攻撃に広く利用される弱点を特定します。
  • マルウェアスキャンは、ウェブサイトが悪質なソフトウェアに感染した場合に警告します。

シマンテックは検索エンジンによるブラックリスト登録の回避にどのように役立ちますか?

Google、Yahoo、Bing などの検索エンジンは、スキャンの実行後に、マルウェアを検出した Web サイトをブラックリスト登録するか、除外します。脆弱性アセスメントを使用してセキュリティホールとなりそうな弱点を特定し、是正措置を講じることで、ハッカーがそのサイトをターゲットと見なし攻撃するリスクを軽減できます。日次で行われるマルウェアスキャンが、攻撃発生時の早期警告システムとなります。シマンテック EV SSL/TLS 証明書またはグローバル・サーバ ID(SSL サーバ証明書の比較)には両サービスが無料で付属します。セキュア・サーバ ID には日次マルウェアスキャンが無料で付属します。

 

脆弱性アセスメントはどのように企業のセキュリティ管理に役立ちますか?

シマンテックの脆弱性スキャンは、一般的な攻撃で広く利用される脆弱性を検出するように設計されています。脆弱性レポートは、タイプ別とリスク別に脆弱性を分類し、対策に役立つ情報を提供をします。この組み合わせにより、お客様が重大な脆弱性を迅速に特定し、修復することが可能になるため、より簡単にウェブサイトのセキュリティを保護することができます。一般的に提供されるツールとしてウェブサイト向けに調整されていない脆弱性スキャンの場合、優先度の低い脆弱性に関する不要な検知結果が大量に検出され、すぐに講じる必要がある重要なセキュリティ対策の妨げになる可能性があります。

最も一般的な攻撃のタイプにはどのようなものがありますか?

SQL インジェクションはハッカーがデータベースにアクセスするために利用されます。ハッカーはこの他に、クロスサイトスクリプティングを利用してウェブサイトにコードを埋め込み、タスクを実行します。ウェブサイトのどこに脆弱性があるのかを認識できれば、わずかな作業でこれらの一般的な攻撃から保護することができます。

脆弱性が検出されると、ノートン™セキュアドシールが変化しますか?

いいえ。脆弱性が検出されても、シールの外観には影響を与えません。脆弱性は脅威ではなく、悪用される可能性のある侵入経路です。シマンテックは、お客様がウェブサイトの信頼性を維持できるように、シールを脆弱性アセスメント結果に紐付けていません。お客様は都合のよいスケジュールで脆弱性を修復することができます。

脆弱性スキャンをすでに使用している場合、どうすればよいですか?

脆弱性アセスメントは PCI 準拠の脆弱性スキャンの代わりにはなりません。このサービスは、既存の保護を補足するものであり、自動的に週次スキャンを行い、重大な脆弱性について読みやすいレポートで報告します。SSL/TLS サーバ証明書に無料で付属する脆弱性アセスメントを他のスキャンと組み合わせることで、追加の情報を収集し、どのような対策を講じるかを決めることができます。

スキャンを独自にカスタマイズできますか?

脆弱性アセスメントは、複雑な設定や詳細な管理の必要なく重要な情報を提供します。通知設定を変更したり、FQDN の違う複数の SSL サーバ証明書がある場合はスキャン開始点ごとに有効化または無効化することができます。

脆弱性アセスメントはどの SSL サーバ証明書に含まれていますか?

脆弱性アセスメントが含まれる SSL サーバ証明書は、シマンテック グローバル・サーバID EV、セキュア・サーバID EV、グローバル・サーバID です。既存のお客様は、User Portal にサインインして、これらの SSL サーバ証明書の脆弱性アセスメントを有効化することができます。新規のお客様は、購入手続きの完了後にサービスを有効化することができます。

シマンテック セキュア・サーバ ID には脆弱性アセスメントが付属せず、個別に購入することはできません。サービスに脆弱性アセスメントを追加するには、証明書のアップグレードをご検討ください。

脆弱性アセスメントサービスはどの IP アドレスからスキャンを行いますか?

脆弱性アセスメントサービスは、お客様のウェブサイトのログに複数の入り口を作成できますが、侵入検知システムなど他社のソフトウェアで問題が発生する場合があります。この理由から、アクセス許可用のフィルタを作成することをお勧めします。シマンテックの脆弱性スキャンが使用する IP アドレスとサーバ名のリストをご確認ください。

 

Web サイト向けセキュリティを今すぐテスト

Symantec CryptoReport

SSL/TLS サーバ証明書のインストール状況をチェックしましょう。

今すぐテスト
プライベート SSL

プライベート SSL

Symantec プライベート SSL は、自己署名で発行されるイントラネット証明書のセキュリティと管理を向上するコスト効率の高いソリューションであり、企業や業界のコンプライアンス基準にも対応します。

続きを読む

SSL/TLS サーバ証明書のしくみとは?

SSL/TLS ハンドシェイクとは?

SSL/TLS プロトコルは 2 点間でやりとりされる情報を暗号化するためのプロトコルです。通常はサーバとクライアントの間を暗号化しますが、サーバ間やクライアント間でも暗号化が必要な場合があります。この記事では主に、サーバとクライアント間のネゴシエーションについて説明します。

続きを読む

フィッシングの簡単な歴史

シマンテックは 2007 年に業界のリーダーとして 25 周年を迎え、今日に至るまで進化を続けている脅威からお客様を守ってきました。実際のところ、シマンテックが現在日常的に対処している脅威の多くは、創立初期には聞いたことのないようなものでした。

続きを読む

使用例

シマンテック・ウェブサイトセキュリティソリューションの活用事例

コミュニティに参加

Symantec Connect でシマンテックの議論に参加

SYMANTEC CONNECT

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE