住商情報システム(SCS)は2009年5月20日,セキュリティ機器の導入によってWebアプリケーションを不正な攻撃から守るサービス「SCS WAFコンサルティングサービス」を発表した。同日付で提供を開始する。ノウハウを体系化した上で料金を明確にし、顧客が利用しやすくした。料金は脆弱性の診断サービスで60万円(税別)から。初年度販売目標は1億円。200万円の案件50件を見込む。
セキュリティ機器として,F5ネットワークスジャパンが販売する「BIG-IP Application Security Manager」(ASM)を利用する。WAF(Web Application Firewall)の1種で、バッファ・オーバー・フローを引き起こす攻撃やSQLインジェクションを使った攻撃など,Webアプリケーションを狙った不正な攻撃をシグネチャ・ベースで検知して防御する機能を備える。
今回SCSが製品化したSIサービスは,このWAF機器を適切な設定で導入するための導入支援サービスとなる。WAF製品のチューニングが難しいため、需要があると判断した。WAFのポリシー・チューニングは,主に適用するフィルタ機能のON/OFFの組み合わせによって実現するが,セキュリティを高めるために検知条件を厳しくし過ぎると,正当なアクセスも過剰に検知してしまい,ビジネス機会の損失につながる。
提供するサービス・メニューの内容と料金は,以下の通り。WAF機器であるASMは別途購入する必要がある(BIG-IP ASMの価格は598万円から)。
(1)「Webアプリケーション脆弱性診断サービス」は,リモート・アクセスによる脆弱性診断/レポート出力する。料金は60万円(税別)から。
(2)「WAFオンサイト設置サービス」は,SCSが推奨する初期設定を施したASMを導入/設置する。料金は40万円(税別)から。
(3)「WAFポリシーチューニングサービスStandard」は,試験導入により過剰検知を精査し,ユーザーごとに適切な設定を見出す。料金は75万円(税別)から。なお,これに脆弱性診断サービスをセットにして,ユーザー個別の脆弱性を加味したチューニングを施す「同Advanced」も用意した。料金は120万円(税別)から。
(4)「WAF定期コンサルティングサービス」は,導入時のWAFポリシーチューニングサービスと同等のサービスを,年に2回,定期的に実施して設定を見直す。料金は,基本サービスとなる「Standard」が100万円(税別)から,脆弱性診断サービスをセットにした「Advanced」が200万円(税別)から。
