京セラコミュニケーションシステム(KCCS)は2007年2月22日,同社が従来から提供している「Web脆弱性診断サービス」に「Web 2.0対応プラン」を追加すると発表した。SNS(ソーシャル・ネットワーキング・サービス)やブログなどユーザーがWebページにHTMLやCSS(cascading style sheet)を直接書き込めるようなサイトが主な対象。SQLインジェクション,コマンド・インジェクションといった従来の検査に加え,特にSNSやブログ・サイトで悪用されやすいクロスサイト・スクリプティング(XSS)のぜい弱性を集中的に調査する。
XSSのぜい弱性とは,Webサイトの管理者が意図しない悪意あるJavaScriptをWebページに埋め込まれ,これを開いたユーザーのWebブラウザでこのJavaScriptが実行されてしまうというもの。「SNSやブログでは,Webページの表現力を増すためにユーザー自身がHTMLやCSSを直接書き込んで文字に飾りをつけたり動きを与えたりできるようにしている。従来はHTMLやCSSを禁止すればよかったが,SNSやブログではそういう対策を取りづらい。このため,悪意あるJavaScriptの埋め込みを防ぐことが難しく,相当なスキルがないとぜい弱点を発見できない」(セキュリティ事業部の徳丸浩副事業部長)。特に,CSSにJavaScriptを埋め込むテクニックは多様で,対策には知識が必要になる。KCCSはWeb 2.0の広がりとともにXSS対策の重要性が高まると判断。これまで,顧客の要望に応じて個別に提供してきた診断項目を,Web 2.0対応プランとしてメニュー化した。
Web 2.0対応プランは1サイト189万円から。従来の「スタンダード・プラン」(140万円から)も継続して提供する。
