NEC、Webアプリケーション脆弱性診断サービスを強化－発見した脆弱性への防御も提供

　日本電気株式会社（以下、NEC）は3月24日、「Webアプリケーション脆弱性診断サービス」を拡充すると発表した。低価格な定期診断ニーズへの対応を行うほか、脆弱性を防御するソフトの適用サービスを新たに提供する。

　Webアプリケーション脆弱性診断サービスは、顧客企業で運用されているWebサーバー上のアプリケーションやコンテンツの脆弱性を診断し、改善提案などを行うサービス。診断には「IBM Rational AppScan」を利用し、SQLインジェクション、HTTPレスポンス分割、クロスサイトスクリプティング、バッファオーバーフロー、ディレクトリトラバーサルなどの脆弱性に対し、6000以上のテストパターンで診断する。

　今回の強化では、1年に複数回の定期診断を受けたいというニーズの高まりを受け、「再診断パック」を設定した。同一案件で、1年以内に2回以上の診断を受ける顧客企業が、複数回を同時発注した場合、2回目以降の再診断1回あたりの料金を、初回診断時の半額に割り引く。例えば約50ページを3回診断する場合、初回が約150万円（税別）、2回目以降は約75万円（同）になるという。提供開始は4月5日の予定。

　また、Webアプリケーションの脆弱性が発見された場合に、NECが独自に開発した脆弱性対応ソフト「IncidentArmor」を適用するサービスも新たに開始する。同ソフトは、Rational AppScanの診断結果と連動して動作する製品で、発見された脆弱性に対し、危険なコードを含むリクエストが届かないように処理できるという。これによって、対象となる脆弱性の迅速な保護を実現。顧客企業がWebアプリケーションを改修するまでの間、一時的に脆弱性をカバーできるとしている。価格は個別見積もりで、提供開始は7月7日の予定。

　なおNECでは、こうしたサービスの強化により、今後3年間で400社へのサービス販売を目指している。