シマンテックは9月15日,Webサイトを対象にした「シマンテック統合脆弱性評価サービス」を開始した。大規模サイト向けには従来から「セキュアインフラストラクチャサービス」の名称で同様のサービスを提供してきたが,今回,中小規模のサイトを対象に価格を抑えて提供する。
価格は70万円(グローバルIPアドレス5個以内,入力画面数10以内)から。インターネット経由でリモートから対象サーバーにアクセスし,検査ツールを用いるなどして6~8時間かけて評価する。評価の結果を「発見した脆弱性の重要度ランク別一覧表」「上位10項目についての詳細報告」にまとめて報告する。
ユーザーは,事前に対象サーバーのIPアドレスとURLを伝えておく。グローバルIPアドレスを一部のサーバーにしか割り当てていないようなサイトではリモートからアクセスできないため,今回のサービスの対象外となり,オンサイトで評価するサービスの契約を別途結ぶ必要がある。
ここ数カ月の間に,100万円を切る診断サービスは,いくつかのベンダーが既に始めている。シマンテックのサービスの特徴は「大規模サイト向けのサービスと同じ評価項目で,中小規模のサイトを評価できる点」(コンサルティングサービス部 シニアマネージャ 松田義巳氏)だという。
脆弱性の評価は,OS/ミドルウエアとWebアプリケーションについて実施する。前者は,不要または脆弱なサービスの確認,ファイル・パーミッションの確認,パスワード保護など。後者はクロスサイト・スクリプティング,SQLインジェクション,バッファ・オーバーフロー,隠れフィールドの操作などである。
(尾崎 憲和=日経システム構築)
■SQLインジェクションなどの手口とセキュリティ対策のことなら■
日経システム構築の別冊「不正アクセスや情報漏洩を防ぐ Webアプリケーションのセキュリティ完全対策」が好評発売中です。Webアプリケーションに対する個々のクラッキング手口と,それに対して採るべき対策などについて体系立てて解説しています。詳しくは,こちらのページをご覧ください
