- 印刷する
- PDF
Web Security Checker を使用する
- 印刷する
- PDF
Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームコンソールで Webサービス診断を実行し、結果を確認する方法を説明します。
Web Security Checker画面
Web Security Checkerを利用するための基本的な説明は以下のとおりです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名 |
② 基本機能 | Web Security Checkerに初めて進む時に表示される機能 |
③ 検索画面 | 診断 URL、メモ内容で作業履歴を検索可能 |
④ 検索フィルタ | 照会する診断作業の範囲を指定 |
⑤ 診断作業リスト | 実行した診断作業のリスト |
診断の実行
Webサービスの診断を実行する方法は以下のとおりです。
- 診断過程中、意図しない動作が発生することがあります。こうした状況に備え、運営環境ではないテスト環境で利用することをお勧めします。
- さらに安全な診断のため、診断を実行する前にバックアップとモニタリングを活用してください。NAVERクラウドプラットフォームで提供するリソースモニタリングサービス(Cloud Insight(VPC))も利用できます。
- NAVERクラウドプラットフォームコンソールで Services > Security > Web Security Checkerメニューを順にクリックします。
- [診断作業の作成] ボタンをクリックします。
- 診断作業作成画面が表示されたら、以下の手順を順に行います。
1. 対象情報の入力
診断対象の URLを入力し、[所有有無確認] ボタンをクリックします。
- URLは http://、https://を含めて入力します。
- NAVERクラウドプラットフォームではない他社のインプラに属する Webサーバの場合、追加作業を実行してください。
- Web Security Checker スキャナーが他社のネットワークで遮断されないよう Web Security Checker IPアドレスを例外処理します。
- [認証ファイル作成とダウンロード] ボタンをクリックして認証ファイルをダウンロードし、そのファイルを並べられたパスのいずれか1つにアップロードします。
- 本人が所有する Webサーバでない場合は、法的責任の可能性があるという内容に同意してください。
2. 除外対象情報の入力
診断で除外するページやディレクトリがある場合、除外対象情報に入力し、[追加] ボタンをクリックしてください。
- 複数の URLを入力できます。
- 除外対象として入力した内容をキャンセルするには、[除去] ボタンをクリックします。
場外対象に指定できるページは以下のとおりです。
- Webサービスに大きな影響を及ぼしかねないページ
- URL収集または診断過程で含まれるスクリプト実行を遮断しなければならないページ
3. 認証情報の入力
認証が必要な Webサービスの場合、認証情報を入力します。
- HTTP Header方式で入力してください。
- 認証情報が必要ではない場合、入力しないを選択します。
- 診断対象のサーバにログインし、Request Header値をコピーし HTTP Headerの入力欄に貼り付けてください。
- [認証結果のスクリーンショットを見る] ボタンをクリックし、入力した値が正しく適用されたのか確認できます。
認証に使用されるアカウントが管理者またはそれに準ずる権限を有する場合、一般アカウントに比べてリスク負担が大きくなる恐れがあります。必ず必要な権限のみ付与されたアカウントを使用してください。
4. スケージュールの予約
診断スケージュールを設定します
- 診断をすぐ始めるに、今すぐを選択します。
- 診断を予約するには、予約を選択し、実行日時を選択します。現在から30日以内まで予約できます。
安全な診断のために診断対象サービスのユーザーが少ない時間に診断することをお勧めします。
5. 細部設定
診断項目、User Agent、診断速度における細部設定が必要な場合、希望通りに設定してください。
- 診断項目: 脆弱性点検項目を自由に選択
- User Agent選択: 診断しようとする環境を選択
- 診断速度: 診断速度の選択
- 診断速度が速くなるほど Webサービスへの負荷が高くなる可能性があります。
6. 通知設定
診断進行中のイベント発生に対する通知対象者を設定するには、[通報対象を設定する] ボタンをクリックし、ポップアップで対象者を設定します。
- 通知対象者と通知方法を選択し、[追加] ボタンをクリックすると、対象者が追加されます。
- 新規の担当者を通知対象者に追加するには、ポップアップの右上にある [通知対象管理] ボタンをクリックした後、移動されたページで対象者の情報を登録しなければなりません。
- 通知対象者グループ管理に関する詳細な方法は Cloud Insight(VPC)ご利用ガイドをご参照ください。
- 対象者の設定を完了したら、[設定保存] ボタンをクリックします。
7. 設定完了
全ての設定を完了したら、[設定完了] ボタンをクリックします。通知ポップアップの内容を確認し、[診断作業作成完了] ボタンをクリックします。
- 診断作業リストに当該内容が追加されます。
- 即時実行を設定した場合、診断が直ちに開始され、完了したら診断レポートが表示されます。
診断レポートの確認
診断結果を盛り込んだリポートを確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールで Services > Security > Web Security Checkerメニューを順にクリックします。
- 照会する診断作業履歴の [レポート] ボタンをクリックします。
- 診断レポートの内容を確認してください。
- レポートを PDFファイルでダウンロードできます。画面右上の [Download PDF] ポタンをクリックします。
- レポートに表示する内容を編集できます。画面の下に [編集する] ボタンをクリックし、Details領域表示する情報を選択してください。編集が完了したら、[適用する] ボタンをクリックします。
診断中止
開始された診断作業を中止できます。診断中止が可能な作業の状態は、以下のとおりです。
- URL収集待機
- URL収集中
- 診断進行中
診断を停止する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールで Services > Security > Web Security Checkerメニューを順にクリックします。
- キャンセルする診断作業の結果例で [キャンセル] または [中止] ボタンをクリンクします。
- 通知のポップアップで [はい] ボタンをクリックします。
- 診断作業が中止されます。
予約のキャンセル
予約した診断作業をキャンセル方法は、以下のとおりです。
- NAVERクラウドプラットフォームコンソールで Services > Security > Web Security Checkerメニューを順にクリックします。
- 予約された診断作業履歴の [キャンセル] ボタンをクリックします。
- 通知ポップアップで [はい] ボタンをクリックします。
- 診断予約がキャンセルされます。
再診断の実行
診断を完了した作業を再診断する方法は、以下のとおりです。
- NAVERクラウドプラットフォームコンソールで Services > Security > Web Security Checkerメニューを順にクリックします。
- 再診断する診断作業履歴の [再診断作業作成] ボタンをクリックします。
- 診断作業の作成画面に表示されたら、 2. 除外対象情報入力から参考しながら、診断作業を設定します。
- 診断対象は同一URLに自動設定され、変更されません。
Web Security Checker APIを利用し、以上の各アクションを同様に実行できます。
- 診断作業リスト照会、特定診断履歴検索: getJobs API、searchJobs API
- 診断の(再)実行: createJob API
- 診断レポートの確認: getReport API
- 診断中止: stopJob API
- 診断キャンセル: cancelJob API