Symantec SSLサーバ証明書に無料バンドルされている脆弱性アセスメント機能を試してみた

Q.脆弱性アセスメントとは何ですか。

A.

脆弱性アセスメントは、すべての EV (Extended Validation) またはグローバル・サーバ ID (SSL証明書の比較) を購入すると無償で利用できる機能で、Web サイトの中で最も悪用されやすい弱点をすばやく特定し、対策をとるのに役立ちます。脆弱性アセスメントには次の内容が含まれます。

・　公開 Web サイト、Web ベースのアプリケーション、サーバーソフトウェア、およびネットワークポートの脆弱性を毎週自動スキャン
・　すぐに調査する必要がある重大な脆弱性と、危険性が低い情報項目の両方を識別する実用的なレポート
・　脆弱性が修正されたことを確認するために Web サイトを再スキャンするオプション

※　OpenSSL1.0.1系の脆弱性 (OpenSSLHeartbleed vulnerability) や、GNU bashの脆弱性を利用した攻撃(CVE-2014-6271)も検出できます。

引用元：無料バンドル機能｜シマンテック

テストサーバ構成

ELB━EC2(m1.midium)←インスタンスA
　　┗EC2(m1.midium)

CPU負荷（インスタンスA）

脆弱性アセスメントレポート

Symantec User PortalにてPDFファイルでレポートが作られます。
今回の結果は。。。

はい、すぐに対応しますｗ

所感

1. 負荷は限定的とかかれていたが、負荷が思っていたより高かった。

   
   引用元：脆弱性アセスメントの仕様詳細について｜シマンテック

2. クロール時間が設定できない為、ピークタイムに来られると厄介。

3. 日本のみにアクセス許可をしている場合、アセスメントサーバはアメリカ、ドイツからリクエストしてくる為脆弱性アセスメント機能は使えない(2016/04/10時点)。使用するに当たり指定IPを許可すればいいがRoute53のGeoとかで設定していると面倒。
   参考元：脆弱性アセスメントを実施するアクセス元のグローバルIPアドレスを教えてください｜Symantec