診断対象URLを登録
ダッシュボードで、自社または許可を得たWebアプリ/APIの公開入口URLを登録します。ログイン画面、管理画面、認証後ページ、第三者サイトは登録しないでください。
Secure Gateは、Webアプリ/APIの公開入口URLを登録し、外形的なセキュリティ設定、公開API仕様、公開情報を短時間で確認するためのサービスです。
ダッシュボードで、自社または許可を得たWebアプリ/APIの公開入口URLを登録します。ログイン画面、管理画面、認証後ページ、第三者サイトは登録しないでください。
通常診断では、利用者自身の所有・管理確認と利用条件への同意をもって登録できます。登録後すぐに診断開始ボタンが使えます。
登録済みURLの「診断開始」を押します。診断中は状態更新または自動更新で進捗を確認できます。不要になった診断は中止できます。
診断結果では、ランク、スコア、指摘一覧、業務影響、修正方法、確認方法を確認できます。各項目の「コピー」ボタンを押すと、内容をMarkdown形式でコピーできます。必要に応じてHTMLレポートを開いて共有してください。
指摘を修正したら、同じURLを再診断します。指摘が消えるか、設定値が意図した内容に変わったかを確認してください。
Webアプリの公開トップ、APIのヘルスチェック、認証不要の案内ページ、公開が意図されたAPI仕様ページなど。
ログイン画面、ダッシュボード、管理画面、会員専用ページ、フォーム送信後URL、決済URL、第三者サイト。
認証後診断は、通常診断とは別の機能です。ログイン後に表示される読み取りページを、利用者が用意した一時認証情報で確認します。
認証後診断はEnterpriseプランで利用できます。Starter / Businessプランでは、ダッシュボードに「認証後診断 Enterpriseで利用可」と表示されます。
Enterpriseプランの場合、ダッシュボード上部の「認証後診断」から専用ページを開きます。通常診断のURL登録フォームには、認証後URLを入力しないでください。
ログイン後にブラウザで表示されるURLを入力します。例: `https://app.example.com/dashboard`、`https://api.example.com/v1/me`。メールアドレスやログインIDを入力する欄ではありません。
通常のWebアプリは「Cookieヘッダ」、APIは「Bearer Token」または「任意HTTPヘッダ」を選択します。Basic認証は、当面は任意HTTPヘッダに `Authorization: Basic ...` を入力して利用します。
Cookie、Bearer Token、任意HTTPヘッダのいずれかを入力します。認証情報はDBには保存せず、診断中だけ一時的に利用します。
対象URLの所有・管理権限、認証情報の利用権限、読み取りURLであること、ログ記録や軽微な負荷が発生する可能性を確認してから開始します。
ログイン済みブラウザのセッションCookieを使う方式です。通常のWebアプリのログイン後画面を診断する場合は、まずこの方式を使います。
入力例: `session=...; csrf_token=...`
APIのアクセストークンを使う方式です。対象APIが `Authorization: Bearer ...` を要求する場合に使います。
独自APIキー、組織ID、Basic認証など、任意のヘッダを指定する方式です。1行に1ヘッダを書きます。
入力例: `X-API-Key: ...`、`Authorization: Basic ...`
Secure Gateは、ID/パスワードを使ったSSOログイン操作を行いません。SAML、OIDC、SSOを利用している場合は、利用者がログイン済みブラウザからCookieヘッダを取得して指定してください。
HTTPヘッダ、Cookie属性、CORS、CSRFトークンらしき要素、フォーム構造、エラー情報、機密情報らしき露出、OpenAPI/GraphQL/security.txt/robots.txtなど。
ログインフォーム自動操作、フォーム送信、データ更新、削除、決済、設定変更、攻撃型SQLi/XSSプローブ、大量リクエスト、負荷テスト。
Secure Gateは、診断対象の公開状態や設定内容から、確認すべき事項を提示します。ただし、すべての指摘事項について、必ず修正しなければならないという意味ではありません。
修正する(許容しない)か、修正しない(許容する)かは、各事業者様のシステム特性、業務影響、運用方針、リスク許容度に基づいてご判断ください。
修正する場合は、対応後に再診断して状態をご確認ください。修正しない場合は、許容理由や判断根拠を対応欄に記録してください。対応欄は、社内説明、監査対応、継続確認のためのメモとしてご活用いただけます。
対応状況・対応メモは、保存後にPDF/CSVへ反映されます。対応内容をレポートに含める場合は、対応欄を保存した後にPDFまたはCSVを出力してください。
自動診断や外部システム連携ではAPIキーを発行して利用します。APIキーは一度しか表示されないため、安全な保管先に保存してください。
問い合わせ先: secure-gate_app@tikeiplan2022.com
Secure Gateは、診断対象の情報を外部の生成AIサービスへ送信しません。診断は、Secure Gate内の診断エンジンにより実行されます。
診断エンジンは、定義済みの診断項目、判定基準、重大度ルールに基づいて、レスポンス、HTTPヘッダ、エラー情報、認証・認可の状態、機密情報の露出などを確認します。
Secure Gate APIは、利用者または利用者システムがSecure Gateの診断機能を利用するためのAPIです。Secure Gate APIを利用しても、診断対象情報が外部の生成AIサービスへ送信されることはありません。
Secure Gateは、診断対象情報をAIモデルの学習目的で利用せず、第三者の生成AIサービスへ学習目的で提供することもありません。
しばらく待っても変わらない場合は、診断を中止して再実行してください。管理者はworkerの稼働状況を確認してください。
対象URLがログイン必須、応答が遅い、リダイレクトが多い、外部から到達しづらい可能性があります。公開入口URLまたはヘルスチェックURLを指定してください。
短時間に同一URLへ操作を繰り返すと、ブラウザや外部サービス側で一時的に警告される場合があります。その場合、ブラウザのキャッシュクリア後、ブラウザを終了/起動してください。それでも続く場合は上記の問い合わせ先へお問い合わせください。