Secure Gatev1.1.0使い方

Secure Gateの使い方

Secure Gateは、Webアプリ/APIの公開入口URLを登録し、外形的なセキュリティ設定、公開API仕様、公開情報を短時間で確認するためのサービスです。

1

診断対象URLを登録

ダッシュボードで、自社または許可を得たWebアプリ/APIの公開入口URLを登録します。ログイン画面、管理画面、認証後ページ、第三者サイトは登録しないでください。

2

所有・管理を自己確認

通常診断では、利用者自身の所有・管理確認と利用条件への同意をもって登録できます。登録後すぐに診断開始ボタンが使えます。

3

診断を開始

登録済みURLの「診断開始」を押します。診断中は状態更新または自動更新で進捗を確認できます。不要になった診断は中止できます。

4

結果を確認

診断結果では、ランク、スコア、指摘一覧、業務影響、修正方法、確認方法を確認できます。各項目の「コピー」ボタンを押すと、内容をMarkdown形式でコピーできます。必要に応じてHTMLレポートを開いて共有してください。

5

修正後に再診断

指摘を修正したら、同じURLを再診断します。指摘が消えるか、設定値が意図した内容に変わったかを確認してください。

診断対象として適切なURL

推奨

Webアプリの公開トップ、APIのヘルスチェック、認証不要の案内ページ、公開が意図されたAPI仕様ページなど。

非推奨

ログイン画面、ダッシュボード、管理画面、会員専用ページ、フォーム送信後URL、決済URL、第三者サイト。

認証後診断の使い方

認証後診断は、通常診断とは別の機能です。ログイン後に表示される読み取りページを、利用者が用意した一時認証情報で確認します。

認証後診断はEnterpriseプランで利用できます。Starter / Businessプランでは、ダッシュボードに「認証後診断 Enterpriseで利用可」と表示されます。

1

認証後診断ページを開く

Enterpriseプランの場合、ダッシュボード上部の「認証後診断」から専用ページを開きます。通常診断のURL登録フォームには、認証後URLを入力しないでください。

2

認証後URLを入力

ログイン後にブラウザで表示されるURLを入力します。例: `https://app.example.com/dashboard`、`https://api.example.com/v1/me`。メールアドレスやログインIDを入力する欄ではありません。

3

認証方式を選択

通常のWebアプリは「Cookieヘッダ」、APIは「Bearer Token」または「任意HTTPヘッダ」を選択します。Basic認証は、当面は任意HTTPヘッダに `Authorization: Basic ...` を入力して利用します。

4

一時認証情報を入力

Cookie、Bearer Token、任意HTTPヘッダのいずれかを入力します。認証情報はDBには保存せず、診断中だけ一時的に利用します。

5

確認事項に同意して開始

対象URLの所有・管理権限、認証情報の利用権限、読み取りURLであること、ログ記録や軽微な負荷が発生する可能性を確認してから開始します。

認証方式の選び方

Cookieヘッダ

ログイン済みブラウザのセッションCookieを使う方式です。通常のWebアプリのログイン後画面を診断する場合は、まずこの方式を使います。

入力例: `session=...; csrf_token=...`

Bearer Token

APIのアクセストークンを使う方式です。対象APIが `Authorization: Bearer ...` を要求する場合に使います。

任意HTTPヘッダ

独自APIキー、組織ID、Basic認証など、任意のヘッダを指定する方式です。1行に1ヘッダを書きます。

入力例: `X-API-Key: ...`、`Authorization: Basic ...`

SAML / OIDC / SSO

Secure Gateは、ID/パスワードを使ったSSOログイン操作を行いません。SAML、OIDC、SSOを利用している場合は、利用者がログイン済みブラウザからCookieヘッダを取得して指定してください。

認証後診断で確認する内容

確認する内容

HTTPヘッダ、Cookie属性、CORS、CSRFトークンらしき要素、フォーム構造、エラー情報、機密情報らしき露出、OpenAPI/GraphQL/security.txt/robots.txtなど。

実行しない内容

ログインフォーム自動操作、フォーム送信、データ更新、削除、決済、設定変更、攻撃型SQLi/XSSプローブ、大量リクエスト、負荷テスト。

結果ランクの目安

ランク意味次の対応
A大きな指摘は少ない状態です。公開前後の通常確認として継続診断してください。
B/C条件付きで利用可能ですが、改善すべき設定があります。medium以上を優先して修正してください。
D/E公開・継続利用前に確認すべき指摘があります。high以上または複数のmediumを優先して対応してください。

指摘事項への対応判断

Secure Gateは、診断対象の公開状態や設定内容から、確認すべき事項を提示します。ただし、すべての指摘事項について、必ず修正しなければならないという意味ではありません。

修正する(許容しない)か、修正しない(許容する)かは、各事業者様のシステム特性、業務影響、運用方針、リスク許容度に基づいてご判断ください。

修正する場合は、対応後に再診断して状態をご確認ください。修正しない場合は、許容理由や判断根拠を対応欄に記録してください。対応欄は、社内説明、監査対応、継続確認のためのメモとしてご活用いただけます。

対応状況・対応メモは、保存後にPDF/CSVへ反映されます。対応内容をレポートに含める場合は、対応欄を保存した後にPDFまたはCSVを出力してください。

APIで使う場合

自動診断や外部システム連携ではAPIキーを発行して利用します。APIキーは一度しか表示されないため、安全な保管先に保存してください。

FAQ・困ったとき

問い合わせ先: secure-gate_app@tikeiplan2022.com

診断対象の情報は外部の生成AIサービスへ送信されますか?

Secure Gateは、診断対象の情報を外部の生成AIサービスへ送信しません。診断は、Secure Gate内の診断エンジンにより実行されます。

診断エンジンは何を確認しますか?

診断エンジンは、定義済みの診断項目、判定基準、重大度ルールに基づいて、レスポンス、HTTPヘッダ、エラー情報、認証・認可の状態、機密情報の露出などを確認します。

Secure Gate APIを使うと生成AIサービスへ送信されますか?

Secure Gate APIは、利用者または利用者システムがSecure Gateの診断機能を利用するためのAPIです。Secure Gate APIを利用しても、診断対象情報が外部の生成AIサービスへ送信されることはありません。

診断対象情報はAIモデルの学習に使われますか?

Secure Gateは、診断対象情報をAIモデルの学習目的で利用せず、第三者の生成AIサービスへ学習目的で提供することもありません。

queuedのまま進まない

しばらく待っても変わらない場合は、診断を中止して再実行してください。管理者はworkerの稼働状況を確認してください。

timeoutになる

対象URLがログイン必須、応答が遅い、リダイレクトが多い、外部から到達しづらい可能性があります。公開入口URLまたはヘルスチェックURLを指定してください。

危険サイト判定が出る

短時間に同一URLへ操作を繰り返すと、ブラウザや外部サービス側で一時的に警告される場合があります。その場合、ブラウザのキャッシュクリア後、ブラウザを終了/起動してください。それでも続く場合は上記の問い合わせ先へお問い合わせください。