Web Security Checker を使用する

Classic/VPC環境で利用できます。

NAVERクラウドプラットフォームコンソールでウェブサービス診断を実行し、結果を確認する方法を説明します。

Web Security Checker画面

Web Security Checkerを利用するための基本的な説明は、次の通りです。

wsc-console_screen_ko

領域	説明
① メニュー名	現在確認中のメニュー名
② 基本機能	Web Security Checkerメニューに初回アクセスすると表示される機能 [診断タスク作成] ボタン: クリックして新しい診断タスクを作成(診断実行を参照) [サービスの詳細を見る] ボタン: クリックして Web Security Checkerの紹介ページに移動 [更新] ボタン: クリックして診断タスクのリストを更新
③ 検索ボックス	診断 URL、メモ内容でタスク履歴を検索可能
④ 検索フィルタ	照会する診断タスクの範囲を指定
⑤ 診断タスクリスト	実行した診断タスクのリスト [レポート] ボタン: クリックして診断レポートを照会(診断レポートの確認を参照) [再診断タスク作成] ボタン: クリックして当該 URLを再診断(再診断実行を参照) [キャンセル] ボタン: クリックして予約された診断タスクをキャンセル(予約キャンセルを参照) [中止] : クリックして進行中の診断作タスクを中止(診断中止を参照) [詳細説明] ボタン: URLの収集、または診断失敗時にクリックして原因に対する詳細説明を照会

診断の実行

ウェブサービスの診断を実行する方法は、次の通りです。

参考

診断過程中、意図しない動作が発生することがあります。こうした状況に備え、運用環境ではないテスト環境で利用することをお勧めします。
さらに安全な診断のため、診断を実行する前にバックアップとモニタリングを活用してください。NAVERクラウドプラットフォームで提供するリソースモニタリングサービス(Cloud Insight(VPC))も利用できます。

NAVERクラウドプラットフォームコンソールで、 > Services > Security > Web Security Checkerメニューを順にクリックします。
[診断タスク作成] ボタンをクリックします。
診断タスク作成画面が表示されたら、次のステップを順に行います。

1.対象情報入力

診断対象の URLを入力した後、 [所有有無確認] ボタンをクリックします。

URLは http://、https://を含めて入力します。
NAVERクラウドプラットフォームではない他社のインフラに属するウェブサーバの場合、追加タスクを実行してください。
- Web Security Checkerスキャナーが他社のネットワークで遮断されないよう Web Security Checker IPアドレスを例外処理します。
- [認証ファイル作成とダウンロード] ボタンをクリックして認証ファイルをダウンロードし、そのファイルを並べられたパスのいずれか1つにアップロードします。
- 本人が所有するウェブサーバでない場合は、法的責任の可能性があるという内容に同意してください。

2.除外対象情報の入力

診断で除外するページやディレクトリがある場合、除外対象情報に入力した後、 [追加] ボタンをクリックします。

複数の URLを入力できます。
除外対象として入力した内容をキャンセルするには、 [削除] ボタンをクリックします。

参考

除外対象に指定できるページは次の通りです。

ウェブサービスに大きな影響を及ぼしかねないページ
URL収集または診断過程で含まれるスクリプト実行を遮断すべきページ

3.認証情報の入力

認証が必要なウェブサービスの場合、認証情報を入力します。

HTTP Header方式で入力してください。
認証情報が必要ではない場合、入力しないを選択します。
診断対象のサーバにログインし、Request Header値をコピーし HTTP Headerの入力欄に貼り付けてください。
[認証結果のスクリーンショットを見る] ボタンをクリックし、入力した値が正しく適用されたのか確認できます。

参考

認証に使用されるアカウントが管理者またはそれに準ずる権限を有する場合、一般アカウントに比べてリスク負担が大きくなる恐れがあります。必ず必要な権限のみ付与されたアカウントを使用してください。

4.スケジュール予約

診断スケジュールを設定します。

診断をすぐ始めるに、今すぐを選択します。
診断を予約するには、予約を選択し、実行日時を選択します。現在から30日以内まで予約できます。

参考

安全な診断のために診断対象サービスのユーザーが少ない時間に診断することをお勧めします。

5.詳細設定

診断項目、User Agent、診断速度における細部設定が必要な場合、希望通りに設定してください。

診断項目: 脆弱性点検項目を自由に選択
User Agent選択: 診断しようとする環境を選択
診断速度: 診断速度の選択
- 診断速度が速くなるほどウェブサービスへの負荷が高くなる可能性があります。

6.通知設定

診断進行中のイベント発生に対する通知対象者を設定するには、 [通報対象を設定する] ボタンをクリックした後、ポップアップで対象者を設定します。
wsc-console_noti_manage_ko

通知対象者と通知方法を選択した後、 [追加] ボタンをクリックすると、対象者が追加されます。
新規の担当者を通知対象者に追加するには、ポップアップの右上にある [通知対象管理] ボタンをクリックした後、移動されたページで対象者の情報を登録する必要があります。
通知対象グループ管理の詳細は、Cloud Insight(VPC) ご利用ガイドをご参照ください。
対象者の設定を完了したら、 [設定保存] ボタンをクリックします。

7.設定完了

全ての設定を完了したら、 [設定完了] ボタンをクリックします。
通知ポップアップの内容を確認した後、 [診断タスク作成完了] ボタンをクリックします。

診断タスクリストに当該内容が追加されます。
即時実行を設定した場合、診断が直ちに開始され、完了したら診断レポートが表示されます。

診断レポートの確認

診断結果を盛り込んだリポートを確認する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Security > Web Security Checkerメニューを順にクリックします。
照会する診断タスク履歴の [レポート] ボタンをクリックします。
診断レポートの内容を確認してください。
- レポートを PDFファイルでダウンロードできます。画面右上の [Download PDF] ボタンをクリックします。
- レポートに表示する内容を編集できます。画面の下の [編集する] ボタンをクリックした後、Details領域に表示する情報を選択します。編集が完了したら、 [適用する] ボタンをクリックします。

診断中止

開始された診断タスクを中止できます。診断中止が可能なタスクのステータスは、次の通りです。

URL収集待機
URL収集中
診断進行中

診断を停止する方法は次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Security > Web Security Checkerメニューを順にクリックします。
キャンセルする診断タスクの結果例で [キャンセル] または [中止] ボタンをクリックします。
通知のポップアップで [はい] ボタンをクリックします。
- 診断タスクが中止されます。

予約のキャンセル

予約した診断タスクをキャンセル方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Security > Web Security Checkerメニューを順にクリックします。
予約された診断タスク履歴の [キャンセル] ボタンをクリックします。
通知ポップアップで [はい] ボタンをクリックします。
- 診断予約がキャンセルされます。

再診断の実行

診断を完了したタスクを再診断する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Security > Web Security Checkerメニューを順にクリックします。
再診断する診断タスク履歴の [再診断タスク作成] ボタンをクリックします。
診断タスク作成画面が表示されたら、2.除外対象情報入力から参照し、診断タスクを設定します。
- 診断対象は同じ URLに自動設定され、変更されません。

参考

Web Security Checker APIを利用し、以上の各アクションを同様に実行できます。

診断タスクリスト照会、特定診断履歴検索: getJobs API、searchJobs API
診断(再)実行: createJob API
診断レポートの確認: getReport API
診断中止:stopJob API
診断キャンセル:cancelJob API