京セラコミュニケーションシステム(KCCS)は6月22日,Webアプリケーションの脆弱性を検査し,対策を施すサービス「Webアプリケーションセキュリティサービス」を提供開始した。セッション・ハイジャックやクロスサイト・スクリプティングによる被害を受ける可能性を調べるだけでなく,見つかった脆弱性への対策まで実施する。
「自社のWebサイトが安全かどうか分からない」「脆弱性を指摘されたが,どう対処すべきか分からない」などセキュリティに不安はあるが,自社で対処できない企業向けに提供する。価格は,Web脆弱性診断サービスが45万円(1サイト)~。
主なメニューは,(1)脆弱性の有無を診断する「Web脆弱性診断サービス」,(2)脆弱性を狙った攻撃からWebサイトを守るための対策を施す「Web脆弱性防御サービス」,(3)Webアプリケーションの開発者を対象にセキュリティ対策に必要なスキルを教育する「アプリケーションセキュリティ教育/コンサルテーション・サービス」---の3つ。
(1)は,米KaVaDoの脆弱性検査ツール「ScanDo」を使い,Webアプリケーションの脆弱性の有無を検査/報告する。検査ツールを使っても検知が難しい脆弱性に関しては,同社のセキュリティ専門家が手作業で検査する。(2)では,(1)による検査結果を踏まえ,対策を施す。米KaVaDoの防御ツール(Webアプリケーション・ファイアウォール)「InterDo」を導入したり,Webアプリケーションを修正するためのアドバイスをしたりする。
(3)は,開発者向けのセキュリティ教育だけでなく,「設計」「開発」「テスト」といった開発プロセスの中に対策を取り込んでいくためのコンサルティングも行う。このほか,アカウント管理や入退出管理,ログ管理などを含めた個人情報漏えい対策サービスなども提供する。
