ラックは10月13日,アプリケーション開発時のセキュリティ対策を支援する「セキュア開発マネジメントサービス」の提供を12月末から始めると発表した。新サービスはアプリケーションの開発や検証フェーズでセキュリティ対策を支援する。既存サービスと合わせ,設計から開発,検証,運用というシステム構築の全工程でセキュリティ対策を支援できるようになった。

 新サービスは,アプリケーションのソースコードを検査する「ホワイトボックス検査」により,ぜい弱性の有無をチェックする点が特徴。ソースコードを直接検査するのでより確実な対策が可能になるほか,開発時に実施すれば修正コストを抑えられる。これまでは,外部から疑似攻撃を試みてぜい弱性を調べる「ブラックボックス検査」が主流だった。しかし,ブラックボックス検査の場合,ぜい弱性があると分かっても,ソースコードを見ているわけではないので,「対策方法の提示はどうしても一般論になっていた」(ラック)。

 主なメニューは三つ。(1)ラックの技術者が開発現場に常駐してソースコードの診断から対策の検討までを実施する「セキュアソース管理者常駐サービス」,(2)開発を外注したアプリケーションの受け入れ時にソースコードを診断する「アプリケーション受入検証代行サービス」,(3)特定アプリケーションのソースコードを検査し,レポート形式で現状と対策を報告する「ソースコード診断サービス」である。対応言語は,C/C++,Java,C#,VB.NET,PL/SQLなどを予定している。

 料金はアプリケーションの規模によるが,(1)が月額250万円から,(2)が200万円から,(3)が150万円から。米フォーティファイ・ソフトウェアのソースコード検査ツールを活用することで,低価格化を実現した。「Webサイト全体を本格的に検査するのであれば,ブラックボックス検査よりもホワイトボックス検査の方が最終的に安くなる。ブラックボックス検査で5000万円程度かかる規模でもホワイトボックス検査なら数百万円で済む」(ラック)という。