よくある質問

青い光の曲線が流れるように描かれた抽象的なデザイン
Web診断
API診断
AI診断
ペネトレーション
Q: Webアプリケーション診断では何を確認しますか?
A: ログイン機能、入力フォーム、権限管理、セッション管理などを中心に、 SQLインジェクションやXSSなど代表的な脆弱性を確認します。
Q: CMSを利用したサイトでも診断可能ですか?
A: はい、可能です。WordPressなど各種CMSを利用したサイトにも対応しています。
Q: 本番環境での診断は可能ですか?
A: 原則はステージング環境で実施しますが、事前に条件を合意したうえで 本番環境での診断も可能です。
Q: API診断ではどのような点を確認しますか?
A: 認証・認可の不備、権限制御、入力値検証、意図しない情報取得の可否などを確認します。
Q: REST APIとGraphQLの両方に対応していますか?
A: はい、REST API、GraphQLのいずれにも対応しています。
Q: API仕様書がなくても診断できますか?
A: 可能ですが、仕様書がある方がより精度の高い診断が可能です。 未整備の場合でもヒアリングのうえ対応します。
Q: AIセキュリティ診断では何を確認しますか?
A: プロンプトインジェクション、情報漏えい、意図しない出力など、 生成AI特有のリスクを中心に確認します。
Q: 外部AIサービスを利用していても対象になりますか?
A: はい、ChatGPT APIなど外部AIサービスを利用したシステムも診断対象です。
Q: AIモデル自体の安全性も診断しますか?
A: 主にAIを組み込んだシステムの実装・利用面の安全性を対象としています。
Q: ペネトレーションテストと脆弱性診断の違いは何ですか?
A: 脆弱性診断は弱点の洗い出し、ペネトレーションテストは 実際に侵入可能かを検証する点が異なります。
Q: 本番環境での実施は可能ですか?
A: 影響を考慮したうえで、事前にRoEを合意し実施可能です。
Q: クラウド環境や社内ネットワークも対象ですか?
A: はい、オンプレミス・クラウドいずれの環境にも対応しています。