レオンテクノロジーは2014年7月16日、WordPressで構築したWebサイトの脆弱性をリモートからWebアクセスを介して診断するサービス「KYUBI」を発表、同日提供を開始した。WordPressの既知の脆弱性と照らし合わせ、脆弱性を指摘するとともに解決策を提示する(写真1、写真2)。価格(税別)は、月額7980円。販売目標は1500サイト。
KYUBIは、Web CMS(コンテンツ管理システム)であるWordPressのソースコードに含まれるセキュリティ上の脆弱性を診断し、対策方法とともに診断レポートの形で提示するサービスである。WordPress本体、プラグイン、テーマの三つの要素について脆弱性を調べる。レオンテクノロジーの実績値では、WordPressを使ったWebサイトには、平均して20件程度の脆弱性が含まれる。
Web画面から、診断したいサイトURLを指定するだけで、その場でリモートから該当サイトにアクセスして診断し、Webで参照可能な診断レポートを生成する。対話型でその都度診断する使い方が基本となるが、1日1回など、1時間ごとの単位で診断プロセスをスケジュール実行する設定も可能。脆弱性情報が更新されたタイミングでメールで通知することもできる。
脆弱性の診断方法は、主として、HTTP/HTTPSによるWebアクセスである。通常のWebアクセスに加え、脆弱性を診断するためのクエリーも利用する。脆弱性の判定(使用しているソースのバージョンや使用している関数の判定)には、レスポンスヘッダーに含まれる情報やレスポンスに要した時間などを利用する。
脆弱性と対策方法の一覧レポートを生成
レポートでは、(1)総合評価(A~Eの5段階)、(2)脆弱性の概要と詳細、(3)脆弱性が与える影響度や深刻度、(4)脆弱性への対策方法、について詳細に報告する。個々の脆弱性ごとに、脆弱性の深刻度を示すCVSS(共通脆弱性評価システム)のスコアを計算して提示する。脆弱性への対策方法として一般的なものは、ソースコードのバージョンアップや、脆弱性がある特定の関数を使わずに他の関数で置き換えること、などである。
脆弱性診断のベースとなる脆弱性の情報は、レオンテクノロジーが独自の調査によって収集する。公開されている脆弱性情報データベースとしては、OSVDB(Open Source Vulnerability Database)やJVN(Japan Vulnerability Notes)など全4種類を使用する。これらの公開情報を見ても対策方法が詳細に書かれていないものについては、レオンテクノロジーみずから対策方法を調べる。
また、WordPressでよく使われる上位50種類のプラグインについては、レオンテクノロジーがこれらの更新状況を常時チェックしている。プラグインが新版に更新されても脆弱性が修正されていない場合も多く、こうした情報も含めると、脆弱性の情報は1日当たり平均して2.6件ほど更新されるという。七夕などのイベント時には1日で数十件もの脆弱性情報が更新されることもあるという。
なお、サービスの提供開始に当たっては、1サイト1回に限って無料で診断できるトライアルサービスを用意した。月額制の有料サービスを契約した場合と全く同じ診断を受けられる。1度診断レポートを入手した上で、継続して利用したい場合は有料サービスを契約すればよい。
