コンテンツ

  1. ホーム
  2. 提供サービス
  3. ホスティングサービス
  4. WEBホスティングサービス
  5. 利用方法・その他
  6. WEBホスティング脆弱性診断代行サービスについて

【学内限定】WEBホスティング脆弱性診断代行サービスについて

WEBホスティング脆弱性診断代行サービス

当該サービスは、WEBホスティングサービス・タイプS、及び、タイプBを対象としています。タイプKをご利用の方は、2020年度末までにタイプS等への移行をお願いします。
参考:WEBホスティングサービス・タイプSへの移行について

サービス内容

WEBホスティング脆弱性診断サービスとは、WEBホスティングサービスを利用するWebサイトに対し、脆弱性診断を実施して診断結果をお知らせする無償のサービスです。

脆弱性診断ツールと診断レベルは以下のとおりです。(ツールは変更する場合があります。)

  • OWASP ZAP
    静的スキャンのみ実施します。

    ※注意

    ・wiki等を設置しているサイト
    編集操作に認証やアクセス制限等をかけてない場合は、ページが壊れる可能性がありますので、診断実施までに認証等を設定していただくか、診断後に元に戻せるようにバックアップを取得していただくようお願いします。
    ・問合せフォーム等を設置されているサイト
    診断により数件のメールが送信される場合があります。

  • WPScan
    全てのWordPress利用サイトに実施します。サイトへの影響はありません。

    WordPress本体と有効化されているプラグイン・テーマが診断対象となります。

当該サービスは、Webサイトの安全性を完全に保障するものではありません。
本番環境のデータを変更する破壊型検査は行いませんので、独自開発のプログラム等を設置されている場合は、必要に応じて別途ご対応をお願いします。
また、診断結果に対するコンテンツの修正は、利用者にて実施いただく必要があります。

利用方法

WEBホスティングサービスの利用申請時に登録いただいたドメイン(例:https://***.***.kyoto-u.ac.jp/)、及び、WordPressについては随時上記の診断を実施します。(※)
※脆弱性診断の代行について部局情報セキュリティ責任者の了承が必要となります。

診断実施フロー

脆弱性診断サービスは、以下のフローで実施します。

1. 利用申請にて登録されたドメインに対して診断実施 (機構)
2. 診断結果を送付 (機構⇒ユーザ)
3. 診断結果に基づき必要に応じてサイト修正 (ユーザ)

診断結果の参考情報

検出頻度が高いリスク(High,Medium)については、以下に参考情報を記載していきますのでご参照ください。
項目は随時更新します。

脆弱性診断結果の参考情報
(本学教職員のみアクセスが可能なGoogleドライブへのリンクです。SPS-IDでログインしてください。)

OWASP ZAPの診断結果について、稀に無関係のサイトの診断結果が混じることがありますが無視してください。

診断結果への対応の必要性

診断結果への対応の必要性のお問い合わせについては、サイトの構造によるため、お答えすることができませんのでご了承ください。
対応することにより副作用があるものもあります。恐れ入りますが、個別に内容をご確認いただきご判断をお願いします。

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.