Webサイトの安全確認を3ステップで SiteLock

Webサイトを安全・安心を守るSiteLock

SiteLockは、お客さまのサーバー内に潜むリスクを診断いたします。


脆弱性診断

WordPressの脆弱性を調べる

アプリ診断APPLICATION SCAN

診断頻度:
四半期

アプリ診断を利用すれば、お客さまのサーバー上にインストールされているWordPress(ワードプレス)を診断して、悪意ある第三者に狙われやすい脆弱性の有無を調べられます。また、既知の脆弱性が判明しているソフトウェア・バージョンの有無もお調べいたします。脆弱性のあるバージョンのWordPressを使い続けると、サイトの乗っ取り、不正改ざん、攻撃性の高いマルウェアを勝手にサーバー上に置かれるなど、サイトオーナーにとって不利益なリスクが高まります。定期的にWordPressの診断を行い、リスク軽減を図るためにも安全な環境維持を心がけましょう。


人気アプリの脆弱性を調べる

アプリ診断APPLICATION SCAN

診断頻度:
四半期

お客さまのサーバー上にインストールされている人気アプリを診断し、SQLインジェクションクロスサイトスクリプティングといった攻撃対象となりうる脆弱性の有無を洗い出します。また、パッチが適用されていない、既知の脆弱性を持つことが判明しているソフトウェア・バージョンの有無もチェックします。

対応アプリ例:Drupal、Joomla!、PHP Nuke、DotNet Nuke、PHP BB、vBulletin


Webサイトの脆弱性を調べる

アプリ診断APPLICATION SCAN

診断頻度:
四半期

WordPress、Movable Typeなど人気アプリを使うことなく、独自にWebサイトを運営されているお客さまも、Webサイトに対する脆弱性診断を手軽に行えます。SiteLockは、お客さまのサーバー上に保有するWebサイトにアクセスし、脆弱性の有無を診断いたします。診断対象は、お問い合わせフォームやショッピングカートなどWebサイトを構成する要素となります。SiteLockによる定期的な診断を実施することは、今後発生しうる脆弱性に見据えた堅実なセキュリティ対策として役立ちます。


XSS脆弱性を調べる

XSS診断XSS SCAN

診断頻度:
ワンタイム
四半期

XSS(クロスサイトスクリプティング)とは、脆弱性のあるWebサイトを踏み台(中継地)として、悪意のあるプログラムをそのサイトの訪問者に送り込む攻撃(ハッキング)手法です。SiteLockはお客さまのWebサイトを対象に定期的な診断を実施し、セキュリティの脅威となるXSS脆弱性の有無を判定いたします。


SQLインジェクション脆弱性を調べる

SQLインジェクション脆弱性SQL INJECTION SCAN

診断頻度:
ワンタイム
四半期

SQL インジェクションは、アプリの脆弱性を意図的に利用し、アプリが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃(ハッキング)方法を指します。SiteLockはお客さまのWebサイトを定期的に診断し、SQLインジェクションの脆弱性の有無を判定いたします。


マルウェア診断・駆除

Webサイト内のマルウェアを見つける

マルウェア診断&SMART診断
MALWARE SCAN & SMART

診断頻度:
四半期

SiteLockはお客さまのWebサイトを診断して、第三者によって一方的に仕込まれた悪意あるマルウェアを見つけ出します。それは、危険な外部サイトへのリダイレクト、隠しリンク、暗号化されたJavaScript、マルウェアサイトへのリンクといった訪問者に害をもたらす脅威であるがゆえ、被害が広がる前に迅速かつ適切に対処する必要があります。こういった巧妙に仕込まれた罠は目視による検知が非常に困難なことから、お客さまのWebサイトに存在するマルウェアの検知は、SiteLockにすべてお任せください。シグネチャベースのスキャンによって、マルウェアを特定します。

不正改ざん&マルウェア検知から駆除までの流れ

※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。


見つけたマルウェアを駆除する

SMART診断SMART

診断頻度:
四半期

SiteLockの強みのひとつは、マルウェアを検出するだけでなく、駆除・除去する機能を備えている点です。マルウェアの存在を確認できても、対処法がなく、お困りのお客さまには最適です。SiteLockによる診断を行い、マルウェアが検出された場合は、二通りの方法でマルウェアを駆除・除去できます。あらかじめ「自動除去」と設定した場合は、診断結果に応じて自動的に駆除・除去いたします。または、お客さまにて確認後、駆除・除去する場合は、コントロールパネル上で手動で指定のボタンを押すだけ。極めてシンプルです。

不正改ざん&マルウェア検知から駆除までの流れ

※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。


不正改ざん対策

Webサイトの改ざんチェック

SMART診断SMART

診断頻度:
四半期

SMART診断を利用して、お客さまのWebサイトが第三者によって不正に改ざんされた形跡の有無を調べられます。方法はシンプル。お客さまのディレクトリ内のデータを定期的に取得して、SiteLockの特設サーバー上で全データに対する診断を行います。マルウェアや不正なリンク、ディレクトリ内のソースファイルに存在する疑わしい、または悪意のあるコード等を探します。これにより、お客さまのWebサイトに加えられた予期せぬ、承認されていない変更(書き換え)を特定できます。また、悪意のあるコードを検知した場合、問題のあるページを正常な状態へ戻したページと差し替えることも可能です。

不正改ざん&マルウェア検知から駆除までの流れ

※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。


Webセキュリティ管理

スパムメールのブラックリスト登録を監視

スパム診断SPAM SCAN

診断頻度:
毎日

悪意のある第三者がメールサーバーを勝手に使い、大量の迷惑メール(スパムメール)を配信する踏み台として悪用する事件が日常的に起きています。スパム配信元のドメインとして、各機関のブラックリストに一旦登録されてしまえば、主要なメールサービス宛てにメールを送信できなくなってしまいます。SiteLockのスパム診断を使えば、お客さまのドメインがスパム発信元として主だったブラックリストに掲載されていないか監視します。


Webサイトのブラックリスト登録を監視

マルウェア診断
MALWARE SCAN

診断頻度:
四半期

悪意のあるマルウェアや不正なリンクを埋め込まれたWebサイトを放っておくと、サイト訪問者に害をもたらす危険なサイトとして各機関のブラックリストに登録され、その結果、主要な検索エンジンやセキュリティソフトによってアクセスしないように警告を受けるようになります。Webサイトへのアクセス大幅減は、インターネットビジネスを営む事業者にとって深刻なリスクです。

SiteLockでは、お客さまのWebサイトの健全性を確認する手法として、SMART診断の一部機能として、ブラックリスト監視を用意しています。Webサイトのページやサイト上のリンクが、主要な検索エンジン、その他のプロバイダーによって管理されているブラックリストに掲載されていないかチェックします。また、SiteLockによって管理されている7,000を超える既知のマルウェアサイト情報が格納された内部データベースにも照会して確認を徹底しています。


SSL証明書を常に有効に維持する

SSL診断SSL SCAN

診断頻度:
毎日

SSL証明書を正しく、常に利用する上でまめな管理は欠かせません。更新忘れによる失効や設定ミスによるSSL証明書のトラブルは、誰の身にも起き得るアクシデントです。面倒な運用・監視の手間は、SiteLockにお任せください。お客さまのサーバー上にインストールされたSSL証明書をモニターし、下記を監視・検証いたします。また、更新月の前月には、更新間近であることを伝えるメールをお送りいたします。そして、何らかの問題が発生した場合は、お客さま宛てにメールでお知らせいたします。これにより、常に有効なSSL証明書を維持・運用する体制を手に入れられます。

  1. SSLによる暗号化が使用されている
  2. SSL証明書の有効期限が切れていない
  3. 名前/ドメインが正しい情報で登録されている

Webサイトの安全性をシールで可視化する

安全シール

Webサイトの安全性に細心の注意を払うからこそ、お客さまの真摯な姿勢をわかりやすく明示しましょう。SiteLockでは、お客さまのWebサイトの訪問者に対してサイトの安全性を視覚的に伝える安全シールをご用意しています。

SiteLock

掲載方法は簡単、安全シールを表示させたいページにコードを埋め込むだけ。上記に掲載されているのは実際の安全シールです。クリックすれば、最新の診断結果も具体的に表示されます。安全シールが訪問者によってクリックされた数は、コントロールパネル上で確認できます。

なお、Webサイトにセキュリティ上の問題が発生し、72時間以内に問題が解決されない場合は、安全シールの画像は透けて表示されるようになります。


セキュリティのアドバイスを受ける

アドバイザリー機能ADVISORIES

診断頻度:
毎日

Webサイトのセキュリティ診断を受けて、緊急性の高い脆弱性が検知されたとしても、どう対処すべきか適切に判断することは容易ではありません。SiteLockのアドバイザリー機能を使えば、お客さまのWebサイトに潜む脅威を洗い出し、それに対するセキュリティのアドバイスを受けることができます。脆弱性の緊急性(高/中/低)を判定してくれるので、何をいつ優先的に対処すべきかプライオリティも明確にできます。また、パスワード入力ページへのSSL暗号化の適用やサードパーティ製のアプリケーションのアップグレードの必要性など、お客さまのWebサイトにおけるセキュリティ上の注意事項や勧告もタイムリーに教えてくれます。


診断前の独自ドメイン認証

ドメイン認証DOMAIN VERIFICATION

SiteLockの一部の診断機能を利用するには、まず最初に診断対象となる独自ドメインがお客さまの資産であることを証明する必要があります。第三者のWebサイトを勝手に診断することがないよう、認証のプロセスを必要とします。なお、認証方法は、下記の二通りから選べます。

(1)Webサイトにセキュリティコードを埋め込む
診断対象となるWebサイトのTOPページに指定のセキュリティコードを挿入する方法です。セキュリティコードは、コントロールパネル上で発行できます。あとは、セキュリティコードを含んだTOPページをWebサーバーへアップロードするだけです。

(2)HTMLファイルをアップロード
お客さまのWebサーバーに当社指定のHTMLファイルをアップロードする方法です。HTMLファイルは、コントロールパネルからダウンロードできます。ルートディレクトリにアップロードするだけです。

(1)または(2)の作業を行った後、コントロールパネル上で指定の操作を行うだけです。ドメインのオーナーシップが証明されれば、診断を始めることができます。

対象機能:WordPress アプリ診断、アプリ診断


すべてを管理するコントロールパネル

コントロールパネル

SiteLockで利用可能な様々な診断や診断結果を管理・閲覧するWebベースのコントロールパネルをご用意しています。直感的に操作できるシンプルなコントロールパネルは、PC、iPhone/iPadなど主要なモバイル端末に対応しています。場所、時間を問わず、いつでもアクセスして利用いただけます。

【ご注意】 当サービスでは、新たに発見された脆弱性に関する情報やセキュリティ勧告など、米国SiteLock社からリアルタイムに最新情報をお届けすることを優先しています。そのため、アドバイザリ機能で配信される一部の内容が英語表示となることがあります。その翻訳には、お時間をいただく場合がありますのでご了承ください。また、アプリ診断の診断結果は、英語表示となります。



TOP