ツールと疑似攻撃で弱点をあぶり出す 項目を絞った廉価版も登場

セ キ ュリ ティ 診 断 サ ー ビ ス
S e c u r i t y Te s t i n g S e r v i c e s
Pa r t
06
ツールと疑似攻撃で弱点をあぶり出す
項目を絞った廉 価版も登場
「外 部からの攻 撃」に対して、自 社のシステム はどれほど安 全なのか。
あるいは、どれほど無 防 備なのか。これをチェックしてくれるのが
編集部
専 門 業 者が提 供する「セキュリティ診 断サービス」だ。
SQL インジェクションによるデータ
ションにおける脆弱性の有無を検査・
イトの安全対策は費用対効果が見えに
ベース改ざん、クロスサイトスクリプ
分析し、緊急度や対策法をアドバイス
くいため、投資しづらいと感じている企
ティングによる情報漏洩、セッション管
するサービスを展開している。その多く
業は少なくない。そうした企業に向け
理の不備によるなりすまし─。企業の
は、ツールを使ったソースコード解析
て、診断項目や対象を限定することによ
Web サイトが直面する脅威は増え続け
と、技術者が Web サイトに疑似攻撃す
り価格を抑えたサービスも出てきてい
ている。もちろん多くの企業はすでに何
る手動診断を併用している。
る(表 6-2)
。SaaS 型で診断サービスを
らかの対策を講じているが、その堅牢度
一方、ツール診断に絞ったサービス
提供するベンダーも登場した。比較的
のレベルは客観的に判断しにくい。そこ
もある。こちらは、大量の Web アプリ
気軽に試せるこれらのサービスを利用
で検討したいのが、最新のセキュリティ
ケーションを短期間にチェックしたい
して自社の Web サイトの現状をある程
動向に通じた外部の専門家の助けを借
企業に向くと言える。
度つかんでから、より詳細な診断サービ
これらサービスの価格は数十万から
りることだ。
ベンダ ー 各社は、Web アプリケー
と、決して安くはない。しかも、Web サ
スを検討するといった使い方をするの
もよいだろう。
表 6-1 主な Web サイト脆弱性診断サービス
サービス名 / ベンダー
診断から報告までの期間
ツール と手動による診断
Web アプリケーションアドバンスド診断/アルファネット
1 週間∼
EINS/SVA+ /インテック
個別見積もり
ウェブアプリケーションセキュリティ診断/インフォセック
1 週間∼
WebSiteScan Pro /インフォリスクマネージ
10 日以内
(速報は 3 日以内)
料金、その他
3URL まで 25 万円( 税別)から。1URL 追加ごと
に 5 万円
1 画面 22 万 5000 円から。認証などの手動診断は
別途料金
個別見積もり
1URL95 万円∼
Web アプリケーション診断/ NRI セキュアテクノロジーズ
3 営業日以内
5 画面で 164 万円(税別)∼
NEC ActSecure セキュリティ診断サービス/ NEC
2 週間程度
1 サイト 125 万円∼
約 2 週間
入力フォーム 5 ページ(50 項目)で 50 万円から
10 営業日∼
個別見積(サイトの規模などによる)。PCISSC ※ 1
の認定を受けている
ちぇっく ME インスペクション(Web コンテンツ検査)/
NTT-ME
Web アプリケーション診断サービス/ NTT データ・セキュリティ
42 │ IT Leaders │ 2009 │ 05 │
投資と実益をバランスさせる
賢いセキュリティ対策
ツール と手動による診断
サービス名 / ベンダー
Web 脆弱性診断サービス Standard Plan /
診断から報告までの期間
料金、その他
京セラコミュニケーションシステム
20 ページを診断した場
合、2 週間
「Ad1 サイト 147 万円から。「Economy Plan」、
vanced Plan」などもある
Web アプリケーション脆弱性診断 by LAC / KDDI
約 2 週間
ProactiveDefense Standard /神戸デジタルラボ
1 週間∼
Web アプリケーション脆弱性検査(手動検査)/
さくら情報システム
12 営業日(25 リクエス
ト※ 2 の場合)
Web アプリケーション診断/ JMC リスクソリューションズ
10 画面で 3 日程度
セキュリティ脆弱性検査サービス/シマンテック
静的画面 100 ページの
場合、約 3 週間
Web アプリケーション検査 アドバンスド/住商情報システム
2 日∼
Web アプリケーション診断サービス(ハイブリッド診断)/
セコムトラストシステムズ
約 5 ∼ 8 営業日
脆弱性診断ライトプラン/ソフトバンク・テクノロジー
1 週間∼
脆弱性検査サービス/ディアイティ
1 週間以内( 緊急報告
は 3 営業日以内)
セキュリティ診断サービス 拡張診断 Lv3 /
日立システムアンドサービス
標準で約 2 週間
個別見積(サイトの規模などによる)。利用企業の
要望に応じて、経営層向けの報告書も作成する
基本料金 60 万円のほか、1 画面ごとに 10 万円。診
断した Web サイトで半年以内に外部からの攻撃に
よる漏洩などが起きた場合、診断費用を全額返金
基本料金 50 万円のほか、1 リクエストごとに 12 万
円。ツール診断に絞った「スタンダード検査」もある
基本料金 40 万円のほか、1 画面あたり 7 万 5000
円
左記の条件の場合で 500 万円∼。個別に脆弱性診
断ツールを作成する。作成したツール は診断終了
後に顧客に提供する
1 サイト 150 万円∼。ツール診断を中心とした「ス
タンダード」もある
1 サイト 20 画面の場合で 95 万円∼。すべて技術
者の手動による診断メニューも提供する
5 ページまでで 40 万円(サーバーやネットワーク
の脆弱性診断も含む)。診断対象のページ数が無
制限の「スタンダードプラン」もある
7 ページで 30 万円∼
IP アドレス 5 つ分で 147 万円(サーバーやネット
ワークの脆弱性診断も含む)
100 画面まで 84 万円から。複数の診断ツールに
よる診断や侵入テストを含む「エンハンスド」、ツー
ル診断に絞った「クイック」もある
主にツール を
利用して診断
SHIELD セキュリティ診断サービス Web アプリ診断 スタンダード/
日立情報システムズ
3 週間∼
Web アプリケーションセキュリティ診断サービス/富士通
2 日間∼
ウェブアプリケーション診断/ベリサイン
1 週間程度∼
Web アプリケーション脆弱性検査 アドバンスト検査/
三井物産セキュアディレクション
5 日(10 リクエスト
Web アプリケーション診断/ラック
1 週間
Web アプリケーション脆弱性検査サービス/
NEC ネクサソリューションズ
50 ファイル で
約 1.5 か月
50 ファイル で 150 万円∼
アプリケーションソースコード診断サービス/三菱総研 DCS
6 日間∼
1 言語 50 万行以内で 120 万円∼
個別見積もり
1 画面 5 万円∼、基本料金は個別見積もり
※2
の場合)
基本料金 50 万円のほか、1 リクエストごとに 12 万
円。ツール診断に絞ったスタンダード検査もある
10 画面で約 130 万円。より多くの項目を診断する
「アドバンスト」、項目を絞った「ライト」がある
※ 1 PCISSC:PCI Security Standards Council(PCIDSS の推進協議団体) ※ 2 リクエスト:ページ遷移の際に Web ブラウザからサーバーへ送信される httpリクエスト
表 6-2 検査項目や対象領域を限定し、価格を抑えたサービスが出てきた。SaaS 型の診断サービスも登場
サービス名 / ベンダー
サービス内容
料金
Web アプリケーション診断サービス/
SQL インジェクションとクロスサイトスクリプティングに対する脆弱
3URL まで 17 万円(税別)。1URL 追加ご
アルファネット
WebSiteScan /
性の有無を診断する
SQL インジェクションとクロスサイトスクリプティング、強制ブラウジ
とに 3 万円
インフォリスクマネージ
ングなどよく知られた脆弱性 5 項目をツールにより診断する
SQL インジェクションやクロスサイトスクリプティング、クロスサイト
Web 健康診断/
1URL19 万 8000 円〜
リクエストフォージェリなど 12 項目について診断する。1 サイト約
18 万円(サーバーの脆弱性診断を含む)
Web セキュリティ診断・初診コース/
10 ページ程度の抜き取り診断
SQL インジェクションとクロスサイトスクリプティングに特化して診
1ド メイン 10URL ま で で 6 万 3000 円。
ラック
断する
京セラコミュニケーションシステム
WebChecker /シーイーシー
gred セキュリティサービス/
セキュアブレイン
SQL インジェクション、クロスサイトスクリプティング、OS コマンド
インジェクションの危険性を診断する SaaS 型サービス
SQL インジェクションなどによる Web サイトの改ざんの有無を、1
日 4 ~ 24 回確認する SaaS 型サービス。社内ネットワーク上で発見
Amazon でも販売している
1 カ月に 1 回の定期検査を実施する「定期
Web アプリケーション検査」は年間 24 万
円、単発の検査は 1 回につき 8 万円
1 カ月 3 万円〜
された不審ファイルを解析する機能も提供する
│ IT Leaders │ 2009 │ 05 │ 43