シマンテックは9月15日,Webサイトを対象にした「シマンテック統合脆弱性評価サービス」を開始した。大規模サイト向けには従来から「セキュアインフラストラクチャサービス」の名称で同様のサービスを提供してきたが,今回,中小規模のサイトを対象に価格を抑えて提供する。
価格は70万円(グローバルIPアドレス5個以内,入力画面数10以内)から。インターネット経由でリモートから対象サーバーにアクセスし,検査ツールを用いるなどして6~8時間かけて評価する。評価の結果を「発見した脆弱性の重要度ランク別一覧表」「上位10項目についての詳細報告」にまとめて報告する。
ユーザーは,事前に対象サーバーのIPアドレスとURLを伝えておく。グローバルIPアドレスを一部のサーバーにしか割り当てていないようなサイトではリモートからアクセスできないため,今回のサービスの対象外となり,オンサイトで評価するサービスの契約を別途結ぶ必要がある。
ここ数カ月の間に,100万円を切る診断サービスは,いくつかのベンダーが既に始めている。シマンテックのサービスの特徴は「大規模サイト向けのサービスと同じ評価項目で,中小規模のサイトを評価できる点」(コンサルティングサービス部 シニアマネージャ 松田義巳氏)だという。
脆弱性の評価は,OS/ミドルウエアとWebアプリケーションについて実施する。前者は,不要または脆弱なサービスの確認,ファイル・パーミッションの確認,パスワード保護など。後者はクロスサイト・スクリプティング,SQLインジェクション,バッファ・オーバーフロー,隠れフィールドの操作などである。