SiteLock

SiteLockのよくあるご質問


ご契約前のご質問

料金・契約について

お見積・お支払いについて

利用開始について

サービスについて

「リモート診断」について

  • MS Officeファイルは診断対象でしょうか?
    MalwareやSQLi、XSSといった外部スキャンは、MS Officeファイル(xls、doc、xlsx、docx)をリモート診断対象から除外します。
    これらファイルは、CGIプログラム(PHP、Perl)とは異なり、ブラウザセッションを通じて訪問者に脅威を与えないからです。つまり、問題のあるMSファイルをクライアント側に物理的にダウンロードしてから開く場合は別として、通常Webブラウザセッションが当該ファイルの悪意あるプログラムを実行することはありません。
  • マルウェア診断とXSS脆弱性診断の診断ページ数が同じなのですが、診断対象は同じでしょうか。
    XSSやSQLi、Malwareスキャンは、まず対象サイトのページ構造とリンク一覧を把握するためのリストを生成します。その同一リストを利用してそれぞれ診断します。その結果として、診断対象や数は同一になります。
  • マルウェアスキャンの仕組みを教えてください。
    マルウェアスキャンは外部からウェブサイトをクロールし、ソースコード内のマルウェアシグネチャ、リンク、JavaScriptをチェックします。SiteLockは対象ソースコードと照合するため、既知のハッキング、脅威、シグネチャの大規模なデータベースを保持しています。マルウェアのスキャン自体は問題を解決するものではありませんが発見したページやページを警告します。
    一方、XSSスキャンは、SQLインジェクションと同様、クロスサイトスクリプティング技術を使用して外部からサイトに侵入できるか試みます。サイトに侵入することができれば、その問題に関するダッシュボードに警告と助言を通知します。
  • 通常のクロールでは発生しないようなリクエストも発生している。 何をもって診断ページ数をカウントしているのでしょうか?
    SQLインジェクションやXSSスキャンは様々なクエリパラメータを利用して同一フォームに対して頻繁にパターンテストを実施します。つまり多様なクエリパターンを使用してフォームを複数回スキャンして、脆弱性を引き起こす可能性のある脆弱性を診断します。
  • WordPressの診断対象範囲を教えてください。.htaccessファイルも対象になりますでしょうか?
    はい。WordPress本体のバージョンや脆弱性診断、加えてプラグインのコードレベルでの脆弱性診断も実施します。 htaccessファイルも対象になります。
  • スキャンサーバーによるサイトへの負荷は発生しますか?
    アプリ診断(APPLICATION SCAN)利用時は、SiteLockにて診断対象に対して擬似的な攻撃を行います。
    この際、アクセスが一時的に増えるため、システム負荷が上がる可能性があります。そのため、実施頻度を毎日、週1回から選べるようにしています。ただし、過去にアプリ診断によって、Webサイトやサーバーが不安定になるといった事象は報告されておりませんので、ご安心ください。
  • IP Protocols Scanについて
    リモート(HTTP経由)から対象サーバに対して通信可能なポートを調査し、併せてOSバージョン管理などの項目も調べて脆弱性を通知します。
  • クライアント認証の設定を行っているサーバーでも利用できますか?
    Basic認証やSSLクライアント認証で運営されるWebサイトは診断できかねます。
    SiteLockの外部スキャン(SMARTを除くスキャン)は通常訪問者と同じくHTTP(S)経由でサイトをクロールしますが、認証情報をPOSTしたり、クライアント証明書などを保持しないため、認証設定のあるサイトに対しては診断できかねます。
  • ログインしなくても、ログインページは診断できますか?
    はい。可能です。
  • 外部リンクの診断は行われるのでしょうか?
    外部リンクの診断も行います。
    サイトからリンクされている外部リンクのマルウェア診断を行うことで、リンク先の安全性を確認します。なお、外部リンク先のページ数は契約数にカウントしません。
  • 対象サイトへのアクセス頻度(セッション/秒)や(速度(●Mbps/秒))を教えてください。
    ※検知対象サーバの負荷が懸念されるため
    帯域幅の質とリモートサイトへのネットワーク接続の速度に完全に依存しているため、お答えすることができません。
    各サイトスキャンに関する情報は以下のとおりです。

    ■SMART診断
    お客様のダッシュボードから設定に基づいて、複数の同時接続を行います。
    SMART診断の最大負荷は、通常、最初のスキャン(大部分またはすべてのファイルがミラーサーバーにダウンロードされる)およびサイトの大きな変更(サイトに多数のファイルが追加された場合)で発生します。
    ほとんどのサイトでは、ファイルを増分して少数ずつ追加する傾向があるため、日次スキャンはスキャン処理の作業がすべて終了してしまうため、あまり問題になることはありません。
    ■リモート診断
    アプリケーションスキャンは、スキャンの性質(ポートの調査、アプリケーションインストールの検索など)のために、よりリソースを消費します。しかし、スキャンはできるだけ控えめで速くなるように設計されており、ネットワークリンクの速度とリモートサーバーからの応答だけで制限されます。

「SMART診断」について

その他

  • SiteLockをブログで紹介したいです。バナーや転載可能な案内用コンテンツはありますか?
    SiteLockは、アフィリエイトプログラム「A8.net」に販売促進プログラムを開設しています。当プログラムに参加いただければ、SiteLockの広告バナー、テキスト広告、案内用の素材集など無償でご利用いただけます。また、ご紹介によるご成約があった場合は、規定の報酬をお支払いいたします。個人・法人を問わず、自由に参加いただけます。なお、プログラム参加時に費用は一切発生しません。
    [参加方法] A8.net の会員登録後、管理画面にログインします。管理画面の上部にある「プログラム検索」タブ内の「プログラム検索」ボタンをクリックし、「SiteLock」で検索すればプログラムの詳細が表示されます。
  • 取次販売または再販を行うパートナー制度はありますか?
    SiteLock の再販を行うパートナー制度をご用意しています(2017年5月時点)。気軽にご相談ください。また、お客さまをご紹介いただいた際に紹介報酬をお支払いする紹介制度をご用意しています。ご紹介プランに応じて、規定の報酬をお支払いいたしますのでご活用ください。
  • 雑誌、その他メディアの掲載・取材は可能ですか?
    お手数ですが、SiteLockのお問い合わせフォームよりご連絡ください。その際、マーケティング担当者から連絡を希望する旨、お伝えください。折り返し、担当者よりご連絡を差し上げます。

ご契約中のご質問

サービスについて

  • お客さまにSiteLockを提案したいのですが、資料はありますか?
    こちらより、詳細な資料をダウンロードいただけます。提案資料としてご活用いただけます。
  • ログインするためのIDとパスワードを忘れました。
    ログインページにある「ID・パスワードをお忘れですか?」から確認いただけます。
  • 無料お試し期間はありますか?
    申し訳ありませんが、無料お試し期間はありません。
  • テストアカウントの貸し出しはありますか?
    申し訳ありませんが、テストアカウントの貸し出しはありません。
  • 複数人でサービスを管理・利用したいのですが、ユーザーは追加作成できますか?
    作成できます。最大20ユーザーまで作成可能です。
  • 診断は1回で十分ですか?
    インターネット上でWebサイトを公開する以上、マルウェアを仕込まれるなど不正改ざんされるリスクは常に存在します。安全性な状態を維持し続けるためにも、定期的にWebサイトに対する診断を行うことをお勧めします。SiteLockであれば、定期的に診断を実施してWebサイトの安全確認を行えます。
  • SMART診断の診断ルールは?
    SMART診断を利用するには、コントロールパネルにて登録ドメインのFTP/SFTP情報を登録いただく必要があります。1アカウントのみ登録可能です。
    SiteLockでは、登録アカウントを利用して取得(ダウンロード)できるデータを対象に診断を行います。取得したデータに登録ドメインのサイト自体、そしてサブドメイン(例:contact.example.com)が含まれていれば、両方に対して診断を実施できます(※)。なお、診断を実施する範囲は、ご契約プランの定めるページ数(ユニークのURL数)の上限までとなります。

    ※ SMART診断では、特定のコンテンツに対する除外設定を行えます。
    ※ 登録ドメインと異なるドメイン(例:another-example.com)のサイトは、対象外となります。
    ※ 登録ドメインとサブドメインのサイトを別々のFTP/SFTPアカウントで管理されている場合、別アカウントで管理されているサブドメインのサイトは診断対象外となります。
  • 診断時のルールは?(SMART診断を除く)
    SMART診断以外の、リモートによる各種診断は、SiteLockのご契約時に登録されたドメイン(例:example.com)のサイト自体、またサイトからリンクされているサブドメイン(例:contact.example.com)を対象として診断を実施します。ただし、診断を実施する範囲は、ご契約プランの定めるページ数(ユニークのURL数)の上限までとなります。
    たとえば、example.com を登録している場合、以下のページに診断を行います。
    • 登録ドメイン(example.com)からリンクされている同一ドメイン(example.com)内のページ
    • 登録ドメイン(example.com)からリンクされているサブドメイン(sub.example.com)内のページ

    登録ドメインから外部ドメイン(例:another-example.com)へリンクが設けられている際は、アクセス時にセキュリティの脅威があるか、ないか判別するのみとなります。この際、1ページ(URL)とはカウントされません。

    [初回診断時]
    初回診断時は、起点となる最初のページの構文解析を行い、次のリンク先のページに診断対象を移します。登録ドメイン、そのディレクトリ配下のページを優先し、次にリンクされたサブドメインの順となります。

    [2回目以降]
    診断対象となるページは、登録ドメインのサイトにある内部リンクに下記のアルゴリズムを適用することによって決定されます。

    [優先順位]
    • 直近の診断で問題が検出されたページ
    • ページからリンクされているページ
    • 過去の診断で診断頻度の高いページ
    • 引数がすべて消去されたページ(訪問回数)
      例)引数なしのページを優先 引数付き
         http://www.example.com/index.html?id=top ※ 引数は「?id=top」
         引数なし(こちらが優先されます)
         http://www.example.com/index.html
    • 上位階層の「/」の少ないページ
      例)上位階層のページを優先
      下層ページ(「/」は4個)
         http://www.example.com/sales/product/price/index.html
         上位階層のページ(「/」は2個)を優先
         http://www.example.com/sales/index.html
  • SMART診断は、毎回すべてのWebサイトデータを取得しますか?
    初回のみです。2回目以降は、差分のみを取得しますのでサーバー負荷の懸念は払拭されます。
  • SMART診断は、問題点をどれくらい速く取り除きますか?
    SMART診断の設定で「自動クリーン」をオンに設定すると、修復は即座に行われます。自動クリーンがオフの場合、お客さまにて確認後、コントロールパネル上のボタンを押して修復するか、または診断レポートに基づいて、お客さま自身でサイトを修復する選択肢があります。
  • SMART診断では、特定ディレクトリを除外設定はできますか?
    できます。SMART診断の初期設定を行う際、特定のファイル、ディレクトリ、ファイルの種類(拡張子)やファイルサイズで除外設定できます。
  • 診断ページ数が上限に達した場合、どうなりますか?
    ご契約プランが定める上限数に1ページ加算した診断ページ数が診断結果として表示されます。たとえば、診断上限が50ページとなっているエントリープランであれば、51(50+1)ページと表示されます。上限に達した場合、上位プランへのアップグレードをお勧めいたします。
  • サイト内で問題を実際に修復したことは、どのようにして分かりますか?
    SiteLockのコントロールパネルにログインして、SMART診断のレポートを確認すれば、何を検出したか、また何を修復したかが分かります。
  • 制作事業者です。顧客のWebサイトが不正改ざんされ、マルウェアを仕込まれました。問題を解決したことを証明するように求められています。
    SiteLockの診断結果は、CSVにて抽出可能です。そのデータを使って診断レポートを制作いただけます。また、SiteLockの安全シールをWebサイトに掲載することで、診断が実施され、問題がなかったことを視覚的に伝えることができます。
  • 診断してマルウェアや不正リンク等が見つからなかったと結果が出ました。Webサイトは安全だということですか?
    診断時にマルウェアや不正リンクの存在が検知されなければ、その時点におけるWebサイトの安全性は確認できたということになります。
  • Webサイトにマルウェアを仕込まれる原因は何ですか?
    Webサイトの管理・運用状態にもよりますが、以下のような原因が想定されます。
    • Webサイトを運用しているサーバーの脆弱性
    • Webサイトで用いられているアプリ(例:WordPress)やプログラム(例:CGI、PHPやデータベース)の脆弱性
    • WebサイトのFTPパスワードなど情報漏えい
    マルウェアは日々多様化しており、また常に新種がでてきているため、上記の原因だけには留まりません。

契約・お手続きについて

TOP