日本語 English (United States)
ログイン

代理店業務品質評価制度のサイバーセキュリティ対策とVAddyによる脆弱性診断サービスについて

保険代理店様から「代理店業務品質評価制度のセキュリティ対策として、VAddyで診断するべきか」というお問い合わせを多くいただいています。 

本記事では、評価制度との関係性や診断の要否、VAddyを使った進め方を解説します。

 


脆弱性診断の必要性は感じていても何から手をつければいいかわからない方へ、専任のアドバイザーが無料で丁寧にヒアリングを実施し、最適な脆弱性診断の推進に向けたご提案をさせていただきます。

 → VAddyオンライン個別相談会はこちらから
 

 

はじめに

運営しているWebサイト(ホームページ)に動的なページ(お問い合わせフォーム・検索機能・ブログ・記事一覧・お知らせ・ログイン画面など)が含まれている場合、Webセキュリティの観点から脆弱性診断の実施が推奨されます。

VAddyは、ご自身で診断対象となるWebアプリケーションを検査するクラウド型Webアプリケーション脆弱性診断ツールです。検査結果として出力したレポートを、エビデンスとして保存したり、提出資料としてご活用いただけます。

 

代理店業務品質評価制度における位置づけ

一般社団法人日本損害保険協会の「代理店業務品質に関する評価指針(損害保険代理店向け)本編」には、代理店ホームページに関する評価項目が定められています。※2026年6月18日時点

Ⅱ-2-1-8-2 代理店ホームページ
Ⅱ-2-1-8-2-1 主な着眼点 ホームページを適切に作成・運営・管理しているか。
Ⅱ-2-1-8-2-2 評価指標 (2)ホームページについて、セキュリティ対策を実施している。

出典:代理店業務品質に関する評価指針(本編)
https://www.sonpo.or.jp/about/efforts/quality/g34l0i0000003trt-att/hyoka_shishin.pdf

・評価指針として定められているのは「ホームページについてセキュリティ対策を実施していること」です。

所属保険会社の独自基準にご注意ください。 所属保険会社によっては「有料の第三者による脆弱性診断」など、独自の対策基準を求められることがあります。

・評価指針の「個人情報保護に係るシステム面の整備」でも、サイバー攻撃への対策が確認されます。特にお問い合わせフォームなど、個人情報の入力経路があるサイトでは対策が重要です。

 

どのようなWebサイト(ホームページ)に診断が必要・推奨されるか

動的なページを持つWebサイトは、サイバー攻撃(SQLインジェクション等)の標的になりやすいため、脆弱性診断の実施が推奨されます。

お問い合わせフォーム(個人情報の入力経路)
・検索機能
・お知らせ、ブログ記事一覧
・ログイン画面、会員機能
・WordPress等のCMS(コンテンツ管理システム)

一方、会社概要のような「静的なページのみ」で構成されたサイトは、攻撃リスクは低いです。 ただし、所属保険会社から診断の指示がある場合は、サイトの構成に関わらず脆弱性診断を実施してください。

 

サイトのタイプ 含まれる機能・ページ(例) リスクと対策方針

動的なページを含む 
 (必要・推奨)

お問い合わせフォーム
・検索機能 / ログイン機能
・お知らせ / ブログ / 記事一覧
・WordPressなどのCMS

 サイバー攻撃(SQLインジェクション等)の標的になりやすいため、外部ツールや専門機関による診断を推奨します。

静的なページのみ
  (リスク低)

 ・会社概要
・プライバシーポリシー等
(入力フォーム等がない) 		攻撃を受けるリスクは低いが、所属保険会社から指示がある場合は、サイト構成に関わらず診断が必要です。

 

VAddyが向いているケース

動的なページを含むサイトを診断したい!

お問い合わせフォーム、検索、お知らせ、ブログ、WordPressなどを導入しているWebサイトを運営している。

診断レポートを提出・管理したい!

外部ツールによって脆弱性診断を実施したエビデンス(証明書)として、診断レポートが必要な場合。

短期契約で利用したい!追加費用なしで何度も再診断したい!

年に1回の報告書提出などで短期契約して利用したいケース(VAddyは月単位の契約が可能で、契約期間中は追加費用なしで何度でも診断が可能です!

 

ご案内時の注意事項(重要)

VAddyで脆弱性診断を実施する前に、以下の3点を必ずご確認ください。
 

(1)診断対象サーバーの「許可」が必要です

必ずサーバーの所有者・運用者の許可を得てから診断を実施してください。
自社で管理・開発していないサーバー(他社SaaSなど)への無断スキャンは利用規約違反となります。

またレンタルサーバーをご利用の場合、サービス提供元が脆弱性診断を禁止しているケースがあります。事前にレンタルサーバー側の利用規約をご確認ください。
 

(2)所属保険会社の「指定条件」をご確認ください

「有料」「第三者診断」「判定期間内に1回以上」など、求められる条件は所属保険会社によって異なります。

所属保険会社の指示文書をご確認の上、VAddyでの診断が条件を満たすかをご判断ください。
 

(3)原則として検証環境での診断をお願いします

VAddyの診断は、実際に攻撃を模倣したデータを送信します。そのため、本番環境(公開中のWebサイト)へのスキャンは利用規約により原則禁止としています。

もし、本番環境しかない場合は「特約事項」へ同意いただくことで例外的に診断の実施が可能です。本番環境での診断実施をご希望の場合は、事前にお問い合わせにてご相談ください。

 

おわりに(無料トライアルのご案内)

VAddyでは、Professionalプランと同等の機能をお試しいただける「1週間の無料トライアル」を実施しています。

ご自身のWebサイトが診断可能かどうかの確認や、VAddyの操作感をお試しになりたい方は、ぜひお気軽にご利用ください。

また「何から手をつければいいかわからない」といったお客様に向けて 「無料のオンライン個別相談会」 を実施しております! 「自社のサイトが診断対象になるか分からない」「最適なプランを相談したい」という場合は、画面左下のチャットサポートから「代理店業務品質評価制度について相談したい」と気軽にお問い合わせください!