この記事でわかること

  • 攻撃面パッケージ(P3)に追加できる 3 種類のオプション(サブド列挙強化・代表ポート・HTTP 生存確認など)の違い
  • 標準 P3 に含まれる作業と、オプションで初めて許可する作業の境界
  • 見積時にオプション ID を 1 つずつ指定し、作業許可書と個別契約に明記する理由

標準 P3 に含まれない理由

すべてのお客様に nuclei や WPScan を標準で入れると、 不要な能動通信が増え、単価の説明もぶれます。 そのためオプションは契約・見積で明示したときだけ実施します。 金融・上場・メールなりすまし懸念・公式 WordPress サイトなど、 ニーズがある場合に提案します。

オプション一覧

ID 名称 内容(要約) 税抜上乗せ目安
+O1 限定 Web チェック Web 生存確認済み URL へ、許可リスト済みテンプレによるチェック(CVE・設定ミス・露出の代表)。最大 8 URL +3〜8 万円 / 代表ドメイン 1 件
+O2 TLS 深掘り 生存ホストの TLS 暗号スイート・プロトコル等(証明書期限とは別の「中身」確認)。最大 8 ホスト +2〜5 万円 / 代表ドメイン 1 件
+O3 WordPress 特化(WPScan) WordPress と判定した URL に限定した能動プラグイン CVE 列挙。最大 8 URL +5〜15 万円 / 代表ドメイン 1 件
+O1+O2 攻撃面強化セット O1 と O2 の一括 +5〜12 万円 / 代表ドメイン 1 件

確定料金は個別見積です。 P3 または P3+GVM 契約時に追加できます( 依頼の進め方)。

脆弱性診断(GVM)・パッシブ CVE との違い

区分 役割
+O1(限定 Web) Web 向け代表チェック。GVM のの優先度付け向き
+O3(WPScan) WordPress の能動 CVE 列挙。公式 WP サイト向け
P1〜P3 標準(パッシブ CVE) 公開ページから読める WP 情報の照合のみ(能動スキャンなし)。全顧客向けではなく、WP と分かった場合の標準工程
脆弱性診断(GVM) ホスト向け既知 CVE の網羅スキャン。攻撃面オプションとは別契約

推奨順序: 攻撃面(P3)→(+O1 / +O2 / +O3 任意)→ 脆弱性診断(GVM)

向いている場面(例)

含まないこと