 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
MBSD、ASP型の脆弱性検査サービスを提供-ユーザー自身がいつでもチェック可能 |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
WebSec ASPサービスは、ASP型のWebアプリケーション脆弱性検査サービス。主にWebアプリケーションの開発を請け負う企業を対象としており、簡単な操作でWebアプリケーションの脆弱性の有無と、その該当個所をチェックできるという。ASP型のセルフサービスであるため、コンサルティングサービスのように、コンサルタントとスケジュールを合わせる必要はなく、開発工程の中でいつでもチェックが可能。何度でも利用できるので、修正後の再検査が簡単に行える点もメリットだ。 また、市販のツールを利用する場合と異なり、脆弱性検査の知識が少なくとも素早く展開が可能。エンジンには、MBSDが自社開発したものを採用しており、「当社のコンサルタントによって検査シグネチャを随時更新していくため、最新の脆弱性に対するアップデートなどを素早く行える」(事業企画部の新井一人部長)点に特徴があるという。 検査ではJavaベースのツールを用いて、検査対象となるWebサイトをWebブラウザで巡回し、サーバーとクライアントの間で発生するやりとりをデータとして収集。それをWebSec ASPサービスへアップロードすると、検査(擬似攻撃)が実施される。 発見可能な脆弱性は、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー、ディレクトリトラバーサルなどに加えて、リファラーやCookie、User Agentの操作、人為的な設定ミスのチェックなど多岐にわたる。検査はすべての脆弱性に対して行うことも、特定の脆弱性だけを対象に実施することも可能だ。 MBSDはすでに、自社のセキュリティコンサルタントが手がける脆弱性検査サービスとして、「WebSec検査 アドバンスト」「同 スタンダード」を提供している。ここへ、今回のユーザー自身によるWebSec ASPサービスのメニューを追加することで、さらに脆弱性検査のすそ野を広げたい考え。 新井氏は「程度の大小はあるが、既存Webサイトでは90%以上に脆弱性がある。実際に脆弱性が発見されると、長期にわたって改修が必要になり、負担が重い。後から対処するよりは、こうしたサービスを利用して先に対処する方がやりやすいし、開発会社にとっては、セキュリティの強化が差別化につながる」と述べた。 料金体系は、年間契約とスポット契約の2種類を用意した。初期費用はどちらも15万円で、年間契約では検査費用は360万円/年。スポット契約では、80万円/月の検査料に加えて、検査した情報を後から参照するために、15万円/年の情報アクセス・保管料がかかる。MBSDでは、「開発では、プロジェクトごとに収支管理をするケースが多いので、当初はスポット契約がメイン。ただし件数が増えれば、年間契約する方が安くなるので、徐々にそちらに移行するのでは」(新井氏)と見ている。 ■ URL 三井物産セキュアディレクション株式会社 http://www.mbsd.jp/ ニュースリリース http://www.mbsd.jp/newsrelease/pressrelease_20070309.html
( 石井 一志 )
|
