脆弱性診断で指摘される事項に関して
脆弱性診断で指摘を受けました。どうしたらよいでしょうか?
まず、脆弱性診断をされる場合には、弊社サポートまで事前にご連絡をいただくようお願いいたします。
脆弱性があると判定された場合には、弊社サポートまでご連絡をいただければ速やかに調査・対応をいたします。
ただし、指摘事項によっては対応の必要がないとの判断になるものもありますので、ご了承ください。
また、ソフトウェアなどでの自動診断は誤診断が発生しやすいものもありますので、診断結果を手動を再確認していただいてからのご連絡をお願いいたします。
【よくある対応の必要ない指摘事項】
・常時SSL設定でない場合に、クッキーの _lang / rcmsid / _rcms_webp にsecureフラグがない
・クッキーの _lang / _rcms_webp にhttponlyフラグがない
※_langは表示する言語値(例:ja)を格納するクッキーです。
※_rcms_webpはwebpを利用できるブラウザかどうかのフラグを格納するクッキーです。
※rcmsidはユーザーのトラッキングを行う設定をした場合に発行されるものです。
参考)クッキーのSecure/HttpOnly属性に関して
【対応する予定のない指摘事項】
・HTTPレスポンスステータスが300番台等で、Strict Transport SecurityやX-Content-Type-Optionsが付与されていない
【CMSという仕組みの特性上対応が難しい指摘事項】
・管理画面で、X-XSS-Protectionが付与されていない(理由:更新画面でエラー判定されることが多い為)
・レスポンスヘッダーにContent Security Policyが付与されていない(理由:ブラウザによる挙動の違いが多く汎用的な対応が困難な為)※必要な場合はmetaタグにセットする方法がありますので、そちらで対応をお願いします。
【利便性との兼ね合いで対応をしていない指摘事項】
・パスワードリマインダーでメールアドレスの存在のあり・なし表示(回数制限は実装)
・会員登録時でメールアドレスの存在のあり・なし表示(回数制限は実装・メールのみを入力して返信メールから会員登録する機能などを利用して回避可能)
・常時SSLでない場合にX-FRAME-OPTIONSヘッダーを出力しない場合がある
など。
【SaaSスタンダードプランだと現状は対応ができない指摘事項】
・画像/JS/CSSファイルなどにStrict Transport Security/X-XSS-Protection/X-Content-Type-Optionsが付与されていない
※X-Content-Type-OptionsはContent-Typeを動的に出力しているところには自動的に付与されます。
ご要望いただければ改修対応自体は可能ですが、有償カスタマイズによる対応になります。
また、お客様の管理画面領域での設定による不備によって脆弱性と判定されてしまっている場合には、弊社で対応を代行する場合は有償となります。