Securify申し込みから利用までを徹底解説 [使ってみた]

当社が2021年12月より提供開始した、自動脆弱性診断ツール「Securify (セキュリファイ)」ですが、おかげさまで多くの企業様よりお問い合わせ、ならびご利用頂いております。現在ベータ版での提供であり、全機能を無料でご利用可能です(2022年1月現在)。

以下では、Securifyを利用開始するまでの流れについて、またSecurifyの画面についても解説いたしますので、「自動の脆弱性診断ツールを探している」方は、ぜひご一読いただければ幸いです。

• Securify利用開始までの流れ
  • (1)フォームから申し込み
  • (2)担当者と打ち合わせ
  • (3)ID + ログインURLを受信→利用可能
• Securifyログイン・画面解説
  • マジックリングでログイン
  • ログイン後の画面解説
    • 画面左: プロジェクト管理
    • 画面左: アカウント管理
    • 画面中央: プロジェクトを作成
    • 画面右上: お知らせ（ベルのマーク）
    • 画面右上: 黒丸アイコン（メールアドレスのアルファベット頭文字が表示）
    • 画面右下: ？マーク
• 自動の脆弱性診断プロジェクトを作成
  • 1.トップページから「プロジェクトを作成」をクリック
  • 2.プロジェクト名、説明を入力
  • 3.プロジェクトが登録され、詳細情報入力が可能に。
  • 4.プロジェクトが登録され、詳細情報入力・確認が可能に
  • 5.ドメインを登録する
  • 6.診断を実施する
    • (1)通常診断
    • (2)定期診断
• まとめ

Securify利用開始までの流れ

結論から申し上げると、Securifyはわずか2ステップで利用開始できます。順に解説いたします。

(1)フォームから申し込み

当社Securify紹介ページ内のフォームからお申し込みください（ページの一番下です）。

全項目の入力にかかる時間は、長く見積もっても1-2分程度ですので、気軽に申し込み可能です。

(2)担当者と打ち合わせ

フォーム送信後、Securify担当者から電話またはメールで連絡があります。

その後、利用開始前の打ち合わせが設定されます。打ち合わせ時間は30分から1時間程度で、Securifyのコンセプト、機能、使い方などをご紹介すると同時に、お客様がどのような目的でSecurifyをご利用されるかについてもお伺いしています。

(3)ID + ログインURLを受信→利用可能

打ち合わせ終了後に、当社Securify担当者よりメールにて、Securifyを利用するための企業IDとログインURLを案内させていただきます。このメールの受信後からSecurifyが利用可能となります。なお、利用時の注意事項についても記載してあるため、必ず読んでください。

Securifyログイン・画面解説

マジックリンクでログイン

Securifyへのログインは、メールに記載のログインURLから行います。ログインURLをクリックし、「企業ID」と「登録メールアドレス」を入力します。

入力後、「ログイン用メール送信」ボタンをクリックすると、ログイン用のメールが送信されます。このメールに記載されたリンク（マジックリング）をクリックすると、ログインできます。

メールが送信されるまで、クリックして数秒待つ必要がありますのでご注意ください。

パスワードは使用しません（パスワードレス）ので、パスワードを記憶・管理する必要がなく、またパスワードの使い回しといったリスクもなく安全です。

ログイン後の画面解説

ログイン後はこのような画面が表示されます。

なお、この画面は2022年1月現在のもので、変更となる可能性がございます。

画面左: プロジェクト管理

登録されているプロジェクトを一覧で表示します。

画面左: アカウント管理

このアカウントにアクセスできるメンバーを複数人登録できます。

画面中央: プロジェクトを作成

Securifyのメイン機能です。自動の脆弱性診断プロジェクトを登録する箇所となります。この機能については、後のパートで解説します。

画面右上: お知らせ（ベルのマーク）

Securifyのお知らせを表示できます。

画面右上: 黒丸アイコン（メールアドレスのアルファベット頭文字が表示）

このアイコンをクリックして、ログアウトできます。

画面右下: ？マーク

マニュアル、FAQ、お問い合わせへのリンクがあります。

自動の脆弱性診断プロジェクトを作成

以下では、脆弱性診断のプロジェクトを作成していきます。なお、プロジェクトは、1サービスや1案件といった単位で作成することを推奨します。

1.トップページから「プロジェクトを作成」をクリック

2.プロジェクト名、説明を入力

3.プロジェクトが登録され、詳細情報入力が可能に。

4.プロジェクトが登録され、詳細情報入力・確認が可能に

右側には直近の診断の結果が、そして左側メニューには以下が表示されます。

• ダッシュボード: 現在表示されている画面（各プロジェクトのトップページ）
• ドメイン管理: 自動の脆弱性診断を実施するURL名
• 診断結果: 直近7日間の診断結果を表示
• 設定: 診断の設定変更ならび通知の設定変更が可能です

5.ドメインを登録する

メニュー「ドメイン管理」から、診断対象となるURLを登録します。

ドメイン名を入力します。診断により環境が破壊される恐れがあるため、本番環境の登録は避けてください。

脆弱性診断を行うサイトは認証があるサイトか、ないサイトかを選択します。以下例では、認証なしを選択して進めます。

その後、接続テストが自動で行われます。

接続テストが無事行われると、取得したURL情報（トップページ画像）が表示されます。これでドメイン登録完了です。

なお、一つのプロジェクトに複数のドメインを登録可能です。

6.診断を実施する

Securifyで提供される脆弱性診断には2タイプあります。1つは「通常診断（診断を開始するボタン）」と、もう1つは「定期診断（スケジュールを設定し、診断を自動開始させる）」です。ここでは、前者を例に解説します。

(1)通常診断

通常診断を開始する際は、「診断を開始する」ボタンをクリックします。

確認メッセージが表示されたら、「診断を開始する」を再度クリックします。

「診断を開始する」ボタンがグレーアウトしたのちに「診断が開始されました」メッセージが表示されます。早ければ数分で診断が完了します。診断が完了すると、右上の通知マークに通知が表示され、クリックすると診断が完了したことがわかります。

診断結果のサマリはこのように表示されます。各脆弱性の項目をクリックすると、脆弱性が発見されたサイトのURLが表示されます。

右上の「脆弱性診断レポート」をクリックすると、報告された脆弱性と、その対策についての解説をダウンロードできます。

冒頭は、脆弱性診断結果の概要について解説です。

次のセクションは、脆弱性診断結果の概要について解説です。それぞれの脆弱性について、どのような対策が必要かについてのベストプラクティスが提案されます（ベストプラクティスに基づくサンプルコードも提供されます）。

(2)定期診断

通常診断でも、定期診断でも、診断内容は同じです。定期診断は「毎日」または「毎週」の何時に自動で診断を実施するかをセットできます。診断結果の報告やレポートは、通常診断と同じです。

まとめ

以上、Securifyを利用した脆弱性診断について、その概要をお伝えしました。

セキュリティベンダーに都度、脆弱性診断を依頼した場合、費用は数十万～数百万円程度かかるのが一般的です。

しかし、それだけ費用を支払って実施したとしても、あくまで診断実施時点での診断でしかなく、数カ月後に新たな機能追加、改修を行ったときの脆弱性については保証されません。

Securifyは、毎日、毎週といった短い頻度で脆弱性診断を自動で行ってくれる、という点で大きなメリットがあります。特に、高い頻度で更新するシステムやサービスの場合は、大きなメリットがあります。

Securifyは現在ベータ版で、無料で利用することができます。ぜひ、お申し込み頂き、貴社が運営するサービスのセキュリティリスクの洗い出しに活用ください。