シーイーシーは東京ビッグサイトで開催しているITpro EXPO 2008 Autumnの展示会場において,Webアプリケーションのセキュリティ検証サービス「PROVEQ セキュリティ検証サービス」の実演デモを実施中だ(写真)。同サービスは,ユーザーが作成したWebアプリケーションにSQLインジェクションやOSコマンド・インジェクション,クロスサイト・スクリプティング(XSS)といった脆弱性がないかを外部からチェックするサービス。ユービーセキュアが開発した高性能なWebアプリケーション・チェック・ツール「Vex」を使って検査する。同ツールを使ってサービスを提供しているのは,現状では同社だけだという。
Vexは,パソコン内でローカル・プロキシとして動作する。エンジニアがWebブラウザを使って実際に検査対象Webアプリケーションにアクセスし,さまざまな操作をすると,Vex上にトランザクション内容が再現可能な形で記録される。記録されたトランザクション内容に沿って,さまざまな脆弱性のパターンを収めたシグネチャを投入することで,各種脆弱性の有無を効率良くチェックできる。
SQLインジェクションを使ったクラッキングが大流行しているだけあって,類似のサービスを提供しているセキュリティ・ベンダーはほかにも数多くある。その中で同社は,「結果の報告リポートの親切さ」をウリにしている。リポートでは,見つかった問題点について詳細を記すのはもちろんのこと,例えばSQLインジェクションの脆弱性が見つかったら,基本的なしくみや典型的なコード例,対処法なども非常に詳しく併記するという。これにより,セキュリティ知識があまりないユーザーでも,リポートを読むだけで何が問題であって,どう対処すればよいかが分かる。
サービスの基本料金は,Vexを使った標準の「ゴールド」が25リクエスト60万円から。金融機関系のWebサイトのように,ソフトウエア・キーボードを使っていたりしてVexによる自動処理ができない特殊なケースでは,手動の検査にも対応する。この場合は個別の見積もりになる。
