NECネクサソリューションズは2007年3月27日,Webサーバーのぜい弱性を検査する「システムぜい弱性検査サービス」の販売を同日より開始すると発表した。このサービスは同社のセキュリティ・サービス「セキュリティクリニック」のメニューとして提供する。

 システムぜい弱性検査サービスは三つのメニューを用意する。Webアプリケーションのぜい弱性を検査する「Category A」,ネットワーク機器やOS,サービス(Webアプリケーションは含まない)のぜい弱性を検査する「Category B」,Webアプリの機能追加などに応じて定期的に検査する「差分・定期検査サービス」――である。

 Category Aの特徴は,Webアプリケーションのソースコードを直接解析して,ぜい弱点を見つけ出す「ホワイト・ボックス方式」を採用しながら,これを安価に提供する点。ホワイト・ボックス方式は他社の多くが提供している外部から擬似攻撃でぜい弱性を発見する「ブラック・ボックス方式」では発見できない潜在的なぜい弱性が見つけられる可能性が高い。検査料金は50ファイルで構成するWebアプリケーションで150万円程度。これはブラック・ボックス方式並みの料金である。

 Category Bは,市販のツールを使ってOSやネットワーク機器を調査するもの。価格は最も簡易な検査の場合,80万円(IPアドレス10個が対象)から。「差分・定期検査サービス」はWebアプリケーション限定で,更新の頻度や機能追加の度合いに応じて,定期的に検査する。価格は頻度や検査対象の量に応じた契約になるため,非公表。