住商情報システムは2009年2月5日,「Webアプリケーション脆弱性診断トレーニング・サービス」を開始した。このサービスは,Webサイトを運用する会社に,Webサイトにぜい弱性が存在しないかどうかを自分で診断するノウハウを教えるもの。これまで同社が販売するぜい弱性診断ツールを購入した顧客に対して個別に実施していたトレーニングを,今回から正式なメニューとしてサービスを開始した。
「Webアプリケーション脆弱性診断トレーニング・サービス」を提供する背景について,住商情報システムIT基盤ソリューション事業部 基盤インテグレーション第3部 セキュリティソリューション第2チーム 主任の赤澤卓真氏(写真右)は「これまで同社の技術者による第三者診断を受けていた顧客から,自社内でもぜい弱性診断を行える体制を作りたいという要望が多かったため」と説明する。
SQLインジェクションなどのWebサイトへの攻撃手法が日々進化するなか,年数回の第三者診断だけではWebサイトのセキュリティが確保できないと考える企業が増えている。特に「Webアプリケーションを開発する企業では,完成前の開発工程やテスト工程の段階でセキュリティ・リスクを把握したいという要望が多い」(赤澤氏)という。だが,開発の各工程で外部にぜい弱性診断を依頼するのは,コストや開発スケジュールの面で現実的ではない。同サービスはこのようなニーズに応じて登場した。
トレーニングのメニューは,ぜい弱性診断にかかる工数などを見積もる「計画」から始まり,ぜい弱性発見のノウハウを学ぶ「診断」,教材用Webアプリケーションを使った「演習」,「報告書作成フロー」を学んで終わる。トレーニング期間は2日間。この内容は,顧客の要望に応じてカスタマイズするという。同社が販売するぜい弱性診断ツールの使いこなし方や,ツールでは確認できないぜい弱性を発見するノウハウも教える。
トレーニングの講師を務める同社 IT基盤ソリューション事業部 基盤インテグレーション第3部 セキュリティ技術チーム エンジニアの長尾亮氏(写真左)によると,「通常の2日間のトレーニングのほかに,概論と診断ツールの基本操作が学べる1日間のトレーニングも用意している。検査ツールを使った経験が無い人や,Webアプリケーションのぜい弱性についての知識が無い人も受講できる」という。
Webアプリケーション脆弱性診断トレーニング・サービスの価格は30万円から。カスタマイズを実施した場合には,その内容によって変動する。同社では,年間20件の受注を見込んでいる。「トレーニング・サービスの提供を,診断ツールの販売拡大にもつなげたい」(赤澤氏)。
