Enterprise Watch
最新ニュース

Webサイトなどの脆弱性を“毎日”診断するリモートサービス


脆弱性診断レポートの例

Trust-Watchの提供イメージ

取締役会長のジム・クテニコフ氏
 株式会社エス・アイ・ディ・シー(以下、SIDC)は4月24日、Webサイトやインターネットに接続しているネットワーク機器、セキュリティ機器などの脆弱性を診断する「Trust-Watch」サービスを、5月22日より開始すると発表した。リモートから、自動検査システムを使って毎日診断する点が特徴という。

 Trust-Watchは、顧客のWebサイトやネットワーク機器などをリモートから自動診断するサービス。1年365日、毎日自動で検査を行い、その結果を専用Webサイトで確認できるようにしている。診断は、米標準技術局(NIST)、米国家安全保障局(NSA)、SANS TOP20などの世界的なセキュリティ基準を整理し、そこにSIDCがこれまで手がけてきたセキュリティ調査のノウハウを加味した独自基準に基づき行うという。

 また、脆弱性情報は最新のものを常時世界中から収集・分析して、サービスに反映していくとのことで、「SIDCには、米、ロシア、カナダなど各国から人材が集まっている。国外で脆弱性が公開された場合も素早く対応可能だ」(取締役会長のジム・クテニコフ氏)。

 検査は、ネットワークスキャン、ネットワーク脆弱性、Webアプリケーションの脆弱性、の大きく3つの検査を実施し、項目数は5000~1万程度に及ぶ。具体的には、ネットワークスキャンではTCP/UDPのポートスキャン、ICMPスキャンなどを行うほか、ネットワーク脆弱性ではバックドアやパスワードクラッキング、DNS、FTPなどの項目を調査。Webアプリケーションの脆弱性では、クロスサイトスクリプティングやSQLインジェクションなどの脆弱性が存在するかどうかを調査して、脆弱性が見つかった場合は、危険度別に5段階に分けて警告をする。

 診断結果は最長1年間の保存に対応。過去との比較や推移の確認によって、対策状況を時系列に従ってチェックすることが可能になっている。加えて、Trust-Watchには東京海上日動火災保険の「個人情報漏えい保険」が付帯しており、万一Trust-Watch利用中のWebサイトに不正アクセスが発生し被害が生じても、金銭的な被害をある程度緩和できるとしている。なお、危険度が上位から3つ目の「高度」以上の脆弱性リスクが残っている場合は、この保険は適用されないとのこと。

 価格は、ドメインURL(Webアプリケーション)1つとIPアドレス5つまでの基本サービスで31万5000円/年。IPアドレスは3万1500円/年、ドメインURLは13万6500円/年で管理対象を追加することも可能だ。またオプションサービスでは、サポート(5インシデントまで5万2500円)、出張説明会(10万5000円から)、発見した脆弱性に対するレポートサービスなども提供できるとしている。

 取締役の内田哲氏はTrust-Watchについて、「エンジニアが対応しない自動サービスであるので、ECサイトやeコマースサイトなどには適応しない」としながらも、「Webサイトをはじめとするネットワークのセキュリティを高めたい企業の第一歩には適している」と説明していた。



URL
  株式会社エス・アイ・ディ・シー
  http://www.sidc.net/
  Trust-Watch
  https://www.trust-watch.jp/


( 石井 一志 )
2006/04/24 17:19

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.