...

公開ウェブサイトに安心感を! 脆弱性診断のススメ

by user

on
Category: Documents
7

views

Report

Comments

Transcript

公開ウェブサイトに安心感を! 脆弱性診断のススメ
WHITE PAPER:
White Paper
公開ウェブサイトに安心感を!
脆弱性診断のススメ
powered by Symantec
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
Copyright Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec
Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の
登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。
ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法
律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、
本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害に
ついても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述さ
れている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品
またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、
本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではあり
ません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、また
はサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有
者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を
持ちます。
2
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
Contents
93%のウェブサイトが何らかの脆弱性を抱えている
4
現場ではウェブサイト脆弱性対策が二の次になっている
5
ウェブサイト脆弱性がもたらす実ビジネスへの影響
5
ウェブサイトの健康診断 「ウェブ脆弱性診断サービス」
とは?
シマンテックSSLサーバ証明書の「ウェブ脆弱性診断サービス」
1. 脆弱性アセスメント(ツール診断)
2. セキュリティ診断サービス(マニュアル診断+ツール診断)
3
6
7
7
11
重大な脆弱性が見つかった場合、
どう対処すればよいか?
12
まとめ
12
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
93% のウェブサイトが何らかの脆弱性を抱えている
近年、企業のウェブサイトがサイバー攻撃などによって、情報を漏えいしてしまう
事件が頻発しています。例えば 2011 年 4 月には、日本の大手エレクトロニク
ウェブサイトの脆弱性
スメーカーが提供するウェブサイトに対してサイバー攻撃がしかけられ、ユーザ
実に、93%のウェブサイトが何らかの脆弱性を抱えている。
特に危険度[高]のサイトは、全体の 30%も存在している。
の個人情報が流出し、大きな事件となったのは記憶に新しいところです。このよ
うなウェブサイトからの情報漏えいや改ざんは、毎月のように報道されています。
7% 10%
これらの事件の多くは、ウェブアプリケーションの脆弱性を狙われることで起こっ
ています。
33%
30%
20%
危険度[高]を複数検出
危険度[高]を検出
危険度[中]を検出
危険度[低]を検出
ウェブアプリケーション診断の統計では、実に 93% のウェブサイトが何らかの脆
30%
弱性を抱えており、約 30%のウェブサイトで危険度の高い脆弱性が検出されて
危険度の検出なし
おります。ウェブアプリケーションの脆弱性は、ウェブサイトの開発・運営には常
につきまとう、身近な問題となっています。
図1:ウェブアプリケーション診断の結果
(2011年セキュアスカイ・テクノロジー社調べ)
シマンテックではインターネットの黎明期から、ウェブサイト運営者に対して、SSL サーバ証明書による盗聴を防ぐ「通信の暗号化」、偽サ
イトを見分ける「ウェブサイト運営者の実在性認証」を提供してきました。近年のウェブサイトに対するサイバー攻撃は非常に高度化してお
り、SSL サーバ証明書では防ぐことのできない攻撃が増えてきております。代表的な攻撃手法として「SQL インジェクション」があります。
これはウェブアプリケーションに SQL 文を直接入力し、開発者が意図していない動作をウェブアプリケーションに行わせるというものです。
これにより、ユーザ認証をすり抜けたり、権限がなくてもデータベース内のデータを窃取したりすることが可能になります。
SQL インジェクションの他にも、クロスサイトスクリプティング(XSS)
、コマンドインジェクション、クロスサイトリクエストフォージェリ(CSRF)
など、対策を行わなければならない脆弱性はこれら以外にも数十種類にのぼります。ウェブサイトを安全に運営し続けるためには、最新情報の
収集と対策方法を常に見直し続ける必要がありますが、ウェブサイト運営者にとっては大きな負担になります。
一方、Apache 等のプラットフォームを狙った DoS 攻撃が、
インターネットから入手可能な攻撃ツールによって比較的簡単に行われています。
2011 年 8 月に公表された「Apache Killer」によるDoS 攻撃、2011 年 12 月に公開された「Hash DoS」
と呼ばれるDoS 攻撃など、
ウェ
ブサイトを運営する企業は常に最新のセキュリティ情報を入手し、サーバのパッチ適用やネットワーク変更等の対策を行う必要があります。
ウェブアプリケーションに対して昨年 1 年間に 45 万回以上の攻撃の内、最も攻撃回数が多かったのは SQL インジェクションでした。次い
で、不正なコンテンツのスキャン、コマンドインジェクション、パスワードが保存されている「/etc/passwd」への攻撃、開発者が意図し
ていないパスを参照する「パスの乗り換え」(パストラバーサル)などが続いています。
図2:WAFを導入した約200サイトのウェブアプリケーションに対する攻撃回数
(2011年セキュアスカイ・テクノロジー社調べ)
4
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
現場ではウェブサイト脆弱性対策が二の次になっている
脆弱性を作らないためにはウェブアプリケーションの設計/実装/テストの各フェーズにおいてセキュリティを考慮する必要があります。た
だ、短納期、低予算で進められることが多いウェブアプリケーション開発の現状を考えると、セキュリティに配慮した開発が後回しになってし
まうことが少なくはありません。ウェブアプリケーションの脆弱性対策については、独立行政法人情報処理推進機構(IPA)
が公開している
「安
全なウェブサイトの作り方」に詳しく紹介されており、これに従って開発やテストを行うことが推奨されています。
実施すべき内容
セキュリティを
考慮した設計
要件定義
問題点
セキュア
コーディング
設計
WAF
定期診断
脆弱性診断
(ウェブアプリ、
ネットワーク)
実装
テスト
運用
セキュリティの専門
外注への依頼が多い
脆弱性診断は、期間
日々のセキュリティ
知識を持った人間が
ため、開発者のスキ
もコストもかかる為、
情報を入手し、パッ
いないケースが多く、
ルにバラつきがあり、
結局実施されない
チ適用やチューニン
セキュリティを考慮
セキュアなコーディ
ケースも多い
グを実施する必要が
した設計が困難
ングに漏れが発生す
ある
るケースが多い
図 3:ウェブサイト構築時のセキュリティ考慮ポイントと問題点
また、脆弱性が発覚したあとの改修に長い時間がかかることも問題の 1 つです。IPA の調査によれば、脆弱性の修正に 31 日以上の日数
を要した届けでは、全体の 48% にのぼります(下図の赤枠部分)。この傾向は年々増加しております。既にサービスを提供している場合、
脆弱性を放置したままの運用はリスクが高いことを考えると、サイバー攻撃を受けた場合の影響は非常に大きいと考えられます。
脆弱性の修正までに要した日数の割合(年別)
2010 年
67%
2011 年
64%
0%
20%
4%
40%
90 日以内修正完了
13%
13%
52%
2012 年
20%
91 日以上修正完了
23%
未修正
44%
60%
80%
100%
48%
図 4:IPA ソフトウェア等の脆弱性関連情報に関する届出状況 [2012 年第 2 四半期(4 月~ 6 月)
http://www.ipa.go.jp/about/press/pdf/120723_2press2.pdf
ウェブサイト脆弱性がもたらす実ビジネスへの影響
ウェブサイトの脆弱性対策を怠ると、顧客情報の漏洩などの直接的な被害のほか、損害賠償金の支払い、ブランド毀損や風評被害など経
営に係る被害も想定されます。下表は、一般的な企業が情報漏えい事件を起こした場合の想定被害のシミュレーションです。
項目
想定被害額
出典
(a)
損害賠償額
7500万円
JNSA「情報セキュリティインシデントに関する調査報告書」
(b)
調査費用、
セキュリティ再構築費用
5000万円~1億円
IPA「企業における情報セキュリティ事象被害額調査」
(c)
ブランド毀損、風評被害、
イメージ低下
売上の5%~40%
過去の事例より
表 1:情報漏えい事件の事後対策費用、ビジネスインパクト
5
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
一旦、情報漏えい事件が発生すると、
「(a)ユーザへの損害賠償金」と「(b)調査費用、
セキュリティ再構築費用」の合計 1 ~ 2 億円の事後対策費用が必要となります。こ
の額は、ウェブサイトのユーザ数や企業規模にも左右されますが、実際は年商 2 億
円の企業でも、1 億円以上の事後対策費用を支払ったケースもあります。もちろん、
(事後対策)
{(a)+(b)+(c)}
×
情報資産の重要度
(事前対策)
セキュリティ対策費用
この他にも「(c) ブランド毀損、風評被害、イメージ低下」による企業経営に対す
るマイナスインパクトが発生します。
ウェブサイト運営者にとっては、セキュリティに対して、「事前対策」と「事後対策」
のどちらの対策をすべきか、見なおす必要があります。ウェブサイトの特性やユーザ
情報の価値を正しく見極め、情報漏えい時のコストインパクトを適切に予測したうえ
で、対策にかかわる費用と比較検討することが重要です。
(a)ユーザへの損害賠償金
(b)調査費用、セキュリティ再構築費用
(c)
ブランド毀損、風評被害、イメージ低下
図5:セキュリティの「事前対策」
と
「事後対策」
ウェブサイトの健康診断 「ウェブ脆弱性診断サービス」とは?
ウェブ脆弱性診断サービスとは、ウェブアプリケーションが稼働しているウェブサイトの安全性を調査することで、脆弱性の有無やそのリス
クを判断してくれるサービスです。サービスを利用する主な目的は、脆弱性を発見してセキュリティリスクを可能な限り軽減することです。
また、第三者から診断を受けたという証拠(エビデンス)を残し、ユーザに安全性をアピールすることも可能ですし、開発者のスキルアッ
プを目指す企業もあります。
現状では、ウェブアプリケーションの脆弱性診断を行なっていないケースが多く見受けられます。脆弱性診断を行わない理由には、「数
十万円~数百万円の費用がかかる」、「人的リソースが確保できない」、「知識不足」という理由が挙げられております。特に、大企業と比
較して中小企業では、被害経験が少ないため脆弱性対策の必要性を強く感じていないという声があります。しかし、昨今のウェブサイトに
対するサイバー攻撃への対策は、人間が健康診断を行うように、定期的に脆弱性がないかどうかをチェックすることが重要です。
ウェブ脆弱性診断サービスには、主に「ツールによる診断」と「マニュアルによる診断」の 2 パターンがあります。
ツール診断は、複数の攻撃パターンを短期間で正確に実施可能です。年間約 10 万円~で利用が可能です。小規模サイトのシステムリリー
ス前に診断を実施したり、リリース後の運用時に定期的に診断を実施したりすることに役立ちます。診断作業が半自動化できるメリットがあ
るものの、詳細な調査を行うのが難しいです。例えば、診断ツールは自動的にクロールして診断を行うものと実際の画面遷移を覚えさせて
ツールを動かすものがありますが、何か文字を入力しないと次の画面に行けない作りであれば自動クロールの使用は困難です。
一方、マニュアル診断では、なりすまし等、正常通信と変わらない動きをする脆弱性について効果を発揮します。1 回の診断は、約 50
万円~となっており、内容によって金額は大きく変動します。主なセキュリティベンダのウェブ脆弱性診断サービスは、熟練のエンジニアに
よるマニュアル診断が主流です。エンジニアによる診断の場合、担当者のスキルに依存するため、スケジュール調整が難しい、コストが高
額になる、本番システムへの負荷がかかるなどの懸念点があります。
メリット
ツール診断
・あらゆる攻撃パターンを短期間で正確に実施可能 ・人の目で判断しなければ検出できない脆弱性は、
ツールでは検出できない
マニュアル診断
・なりすまし等、正常通信と変わらない動きをする
脆弱性について効果を発揮
表 2:マニュアル診断とツール診断
6
デメリット
・大量な攻撃が必要な診断には適さない
・ヒューマンエラーが発生する
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
シマンテック SSL サーバ証明書の「ウェブ脆弱性診断サービス」
シマンテックグループでは、インターネットの黎明期からウェブサイト運営者に対して、SSL サーバ証明書の提供を行って来ました。それに
加えて、昨今の高度化するサイバー攻撃に対抗するため、ウェブ脆弱性診断サービスの提供を行なっております。この診断サービスは、主
に 2 つのラインアップを用意しております。
1. 脆弱性アセスメント
(ツール診断)
2. セキュリティ診断サービス
(マニュアル診断+ツール診断)
① ウェブアプリケーション脆弱性診断
② プラットフォーム診断
定期的なウェブ診断の利用に慣れていない場合、何からはじめてよいのか、どれぐらいの予算を見込めばいいのか、良く分からないことも
あります。そのような場合、SSL サーバ証明書に無償で付属される「1. 脆弱性アセスメント(ツール診断)」から利用を開始してみること
も可能です。
1. 脆弱性アセスメント(ツール診断)
「脆弱性アセスメント」は、シマンテック SSL サーバ証明書 * をご利用中のお客様を対象に、インターネット経由で週一回診断を行うツー
ル診断です。ネットワークレベルからウェブアプリケーションレベルまで、幅広い診断を定期的に行うことができます。ウェブサイトのリリー
ス後の運用時に、この脆弱性アセスメントを利用することで、新たなセキュリティ脅威を検知したり、ウェブサイトの小規模改修時のセキュ
リティ対策漏れを検知したりすることができます。ウェブサイト管理者は、管理者サイトで脆弱性のレポートを確認、ダウンロードできます。
また、脆弱性の修正後にお客様の都合の良いタイミングで「再実行」ができるボタンが管理者サイトに表示されます。
* グローバル・サーバ ID EV、セキュア・サーバ ID EV、グローバル・サーバ ID をご利用のお客様に提供されます。セキュア・サーバ ID には提供の予定はございません。
脆弱性アセスメントは、シマンテック SSL サーバ証明書をご利用中の
ウェブサイトに対しコモンネーム(FQDN)のトップページから診断を
行います。診断は、コモンネーム単位で実施します。
脆弱性アセスメントをお申込みいただくと一週間に一回のタイミングで
シマンテックの診断サーバからインターネット経由で、お客様のウェブ
サイトの診断を行います。
脆弱性が発見された場合、ウェブサイト管理者に対しメールで連絡され
ます。
ウェブサイト管理者は、管理者サイトで脆弱性のレポートを確認、ダウ
ンロードできます。また、脆弱性の修正後にお客様の都合の良いタイ
ミングで「再実行」ができるボタンが管理者サイトに表示されます。
図 6:脆弱性アセスメントの仕組み
7
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
○脆弱性アセスメントの設定方法(ストアフロントの場合)
User Portal の画面から「Vulnerability Scanning」をクリックします。
脆弱性アセスメント機能をオンにする場合は、「I agree to this Service
Agreement」をチェックし、「Activate Scanning Service」をクリック
します。
この後、24 時間以内に、脆弱性アセスメントが開始されます。
図7
脆 弱 性 ア セ スメント 機 能 を オ フ に す る に は「Deactivate Scanning
Service」ボタンをクリックします。
E メールに関する設定は、「Email Preferences」にある以下の 3 つのラ
ジオボタンから 1 つを選択して「Save Email Preference」をクリックし
ます。
最 後に実 行 された 脆 弱 性 アセスメントの 結 果レポ ートを 表 示 するには
「Download vulnerability report」をクリックします。
図8
8
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
脆弱性アセスメントのレポートは、比較的分かりやすいレポートになっていま
す。また、レポートの見方ガイドを提供しておりますので、初心者の方でも、
すぐにご理解いただくことができます。
レポートは以下の項目で構成されています。
□ 脆弱性アセスメント概要
□ 重大な脆弱性の詳細
□ 注意を要する脆弱性のアクションリスト
□ 注意を要する脆弱性の詳細
□ Appendix A - システム環境情報
□ Appendix B - 技術参照情報
図9
脆弱性アセスメント機能をオンにすると、ウェブに掲載されたセキュリティマー
ク(ノートンセキュアドシール)をクリックして表示されるページに脆弱性ア
セスメント機能を実行していることが表示されます。
図10
9
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
○脆弱性アセスメントの負荷について
数時間掛けてゆっくり診断を実施しますので、負荷は限定的です。下表は、一例の実測値を目安として示すものですが、1 秒間に 1トラン
ザクション以下のペースで、2 時間かけて診断を行なっております。(重大な脆弱性が発見されていないため 200 ページでの診断結果で
す。)
なお、ウェブページの作りや利用しているアプリケーションによって負荷は変化します。
項目
詳細
アセスメント実施時間合計
02:03:02
トランザクション数
6608
平均 TPS(秒あたりのトラフィック)
0.895
表 3:脆弱性アセスメントの負荷について
○脆弱性アセスメントの IP の公開
負荷上昇時の対策やファイアウォール設定の目的でアセスメントサーバの IP アドレスを公開しています。
https://knowledge.symantec.com/jp/support/mpki-for-ssl-support/index?page=content&id=SO23908
できる限り負荷をかけない仕様になっておりますが、もし負荷がシステムへ影響を与えるようなら、アセスメント中でも公開されている IP
にブロックを掛けることが可能です。また、脆弱性アセスメントの IP がファイアウォール、IPS 等でブロックされる場合にも、IP アドレスの
設定でアクセスを許可していただけます。
○脆弱性アセスメントの診断詳細
脆弱性アセスメントは、ネットワークレベルからウェブアプリケーションレベルまで、外部から診断できる範囲で脆弱性を見つけ出します。
例えば、不要なポートが空いていないかどうか、Windows OS のパッチ適用状況は大丈夫か、SQL インジェクションの脆弱性がないかど
うか等を検査します。これは、攻撃者がインターネットから攻撃を掛ける前の調査と似たようなことを行なっており、脆弱性アセスメントで
重大な問題が見つからなければ、無作為なサイバー攻撃に遭いにくくなります。
No.
1.
2.
3.
4.
5.
アセスメント項目
アセスメント例
通信に関する脆弱性(Communication)
SSLサーバ証明書の期限切れ
コモンネームの不一致
その他の脆弱性(Other)
ポートスキャン
(不要なポートが空いていないか)
OSに関する脆弱性(Local)
OSのバージョンチェック
リモートアクセスに関する脆弱性
(Remote Access)
ウェブ関連(Web Server)
ウェブアプリケーションに関する脆弱性
(Application)
データベースに関する脆弱性(Database)
表 4:脆弱性アセスメントの診断詳細
10
telnet/ssh/ftpのデフォルトパスワードチェック
脆弱性のあるFTPサービスのチェック
ウェブサーバのバージョンチェック
ウェブサーバの設定チェック
アプリケーションサーバのバージョンチェック
SQLインジェクション/クロスサイトスクリプティングの脆弱性チェック
Javascriptのチェック
データベースに関する脆弱性チェック
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
GET /h9_W3rii0hW7.sh HTTP/1.1
GET /h9_W3rii0hW7.pl HTTP/1.1
GET /cgi-bin/h9_W3rii0hW7.cfm HTTP/1.1
脆弱性
アセスメント
サーバ群
GET /calendar/login.php HTTP/1.1
ファイア
ウォール
ウェブ
サーバ
図 11:脆弱性アセスメントの検証コード例
2. セキュリティ診断サービス(マニュアル診断+ツール診断)
脆弱性アセスメント以外にも、マニュアル診断とツール診断を組み合わせた「セキュリティ診断サービス(有償)」を提供しております。
① ウェブアプリケーション診断
不適切な認証、セッションの推測など、ツール診断では検知ができない脆弱性を、マニュアル診断でカバーする形でご提供します。原則、
診断はインターネット経由で実施します。お客様のご希望に応じて、オンサイト診断も実施します。
画面数、オンサイト診断の有無、報告会の有無、診断後のサポート内容によって、料金が変動します。(40 万円~)
② プラットフォーム診断
ネットワーク機器、サーバ上の OS や各種アプリケーションの既知の脆弱性を調査します。診断は、インターネット経由のリモート診断とユー
ザ宅内から診断するオンサイト診断の 2 段階の手段となります。
IP アドレス数、オンサイト診断の有無、報告会の有無、診断後のサポート内容によって、料金が変動します。(25 万円~)
お客様側作業
シマンテック側作業
ドキュメント
セキュリティ診断の概要説明とお客様によるサービス内容の把握
お客様のシステム環境調査前のNDAの締結(必要に応じて)
NDA
診断対象決定のための調査/打合せ
最短3週間
診断サービス発注
サービス仕様書・見積書の提示
診断実施のための事前確認項目のヒアリング
契約関連
診断の実施
診断レポートの作成
ヒアリングシート
診断レポートの提示
1ヶ月
図12:サービス導入の流れ
11
Q&A(サポート)
診断レポート
White Paper : 公開ウェブサイトに安心感を!脆弱性診断のススメ
重大な脆弱性が見つかった場合、どう対処すればよいか?
ウェブ診断の結果、ウェブアプリケーションの脆弱性が見つかった場合、アプリケーションの改修には、時間とコストがかかります。特に運
用後のウェブサイトの場合、予算確保ができない、開発者の確保ができない、社内の調整が難しい等の問題が発生します。
そこで、脆弱性診断の診断レポートを元に、「シマンテック クラウド型 WAF(Web Application Firewall)」による対応可否情報を提供
し、WAF サービスを素早く導入することで、検出された脆弱性を無害化するサービスを提供しております。クラウド型の WAF を導入すると、
WAF がリバースプロキシとしてウェブサーバの前面に立つため、ウェブアプリケーションには手を入れずに、ウェブアプリケーションの脆弱
性を覆い隠すことが可能です。すべての運用は WAF センター側で実施されますので、最新のセキュリティ対策で守ることができます。
運用更新&シグネチャの更新、
全て WAF センターで実施します。
お客様のシステムは
何も変わりません。
WAF センター
お客様システム
利用者
シマンテック クラウド型 WAF
ウェブサイトの改ざん
情報流出
ブロック
攻撃者
ブロック
マルウェアによる
ウイルス拡散の防止
個人情報搾取
攻撃者
ブロック
ブロック
図 13:シマンテック クラウド型 WAF 提供形態概要
「シマンテック クラウド型 WAF」の特徴
○ 既存システムの変更は不要なため、短期間で導入
○ 明確、安価な利用料金
○ 最新の脆弱性対策を常に反映
シマンテック クラウド型 WAF によって、脆弱性診断で指摘された、「SQL インジェクション攻撃」、「コマンドインジェクション攻撃」を
無害化できる他、お客様のウェブサーバが直接インターネットに公開されないため、「Apache Killer」や「Hash DoS」、「Apache
Struts 2」による DoS 攻撃も防ぐことができます。
シマンテック クラウド型 WAF は、1 ヶ月間無料で試用・検証可能な無料トライアルキットを用意していますので、実際に WAF を通した通
信テストなどを行うことが可能です。
まとめ
昨今のウェブサイトに対するサイバー攻撃への対策は、人間が健康診断を行うように、定期的に脆弱性がないかどうかをチェックすることが
重要です。システムリリース時や年次のタイミングで「マニュアル診断+ツール診断」を実施し、日々の運用時は「ツール診断」を定期実
行することを推奨しております。また、脆弱性が見つかった場合は、アプリケーション改修か WAF 導入で回避することができます。ぜひと
も、管理されているウェブサイトの脆弱性診断をご検討ください。
Copyright Symantec Corporation. All rights reserved.
シマンテック
(Symantec)
、
ノートン
(Norton)
、
およびチェックマークロゴ
(the Checkmark Logo)
は米国シマンテック・コーポ
レーション
(Symantec Corporation)
またはその関連会社の米国またはその他の国における登録商標、
または、
商標です。
その他の名称もそれぞれの所有者による商標である可能性があります。
製品の仕様と価格は、
都合により予告なしに変更することがあります。本カタログの記載内容は、
2015年4月現在のものです。
12
WPVA2012_1403
合同会社シマンテック・ウェブサイトセキュリティ
https://www.jp.websecurity.symantec.com/
〒104-0028 東京都港区赤坂1-11-44赤坂インターシティ
Tel : 0120-707-637
E-mail : [email protected]
Fly UP