日本電気(NEC)は2010年3月24日、ECサイトやネットバンキングシステム、企業間取引サイトなどのWebサーバー上で動作するアプリケーション(Webアプリケーション)に対し、セキュリティの脆弱性を診断して改善提案を行う「Webアプリケーション脆弱性診断サービス」の内容を拡充したことを発表した。
同社によれば、Webアプリケーションは一般的なソフトウェアと異なり、企業特有の業務やサービスに合わせて開発されるため、高い頻度での定期的なセキュリティチェックや、脆弱性が発見された場合にアプリケーションごとに対策をとる必要がある。今回のサービス拡充は、そうした市場環境に対応するもので、内容は以下の2つ。
1. 1年間に複数回の定期診断を受けやすい価格体系の設定
「SQLインジェクション攻撃」や「クロスサイトスクリプティング攻撃」といったセキュリティに関わる事故や犯罪の増加を受け、年に複数回の定期診断を受けたいという顧客のニーズが高まっていることから、同一案件で1年以内に2回以上の診断を受ける顧客を対象に、2回目以降の再診断1回分の料金を初回診断の半額とする価格セットを設定した。
「Webアプリケーション脆弱性再診断セット(1年間)」の価格体系は、1回目の価格+2回目以降の価格(2回目以降は1回目の半額)となる。価格は、対象システムの規模などにより個別見積もり。また、初回申し込み時に複数回診断をする契約が必要となる。
同サービスは、2010年4月5日より提供を開始する。Webアプリケーション(対象のWebページ)のセキュリティ脆弱性診断には、世界的に人気の高い「IBM Rational AppScan(ラショナル・アップスキャン)」を採用。
2. 診断で発見された脆弱性への対応ソフトウェア適用サービス
従来の診断サービスでは、発見された脆弱性への対応は顧客自身が行うのが常だったが、今回、診断で脆弱部分が発見された場合には、同社が独自開発した新しい脆弱性対応ソフトウェア「IncidentArmor(インシデントアーマー)」を適用するサービスを新たに開始する。
IncidentArmorは、IBM Rational AppScanの診断結果と連動して動作し、IBM Rational AppScanで発見されたWebアプリケーションの脆弱性に対し、危険なコードを含むリクエストが到達しないように処理することが可能という。発見された脆弱性に対してのみ効力を発揮するという技術を用いており、脆弱性がない他の部分には影響を与えないようにできるとのこと。提供開始予定は2010年7月7日、価格は適用環境に応じて個別見積もりとなる。
なお同社は、今回の発表に関連するセミナーを以下のように開催する。
- タイトル:「あなたの会社のWebサイトは安全と言えますか?」~NECとIBM Rationalが語る、Webアプリケーション脆弱性対策~
- 日時:2010年4月16日(金) 14時~16時30分
- 場所:NEC本社ビル(港区芝5-7-1) 1F セミナールーム
セミナー詳細
http://www.nec.co.jp/seminar/100416websec/
「Webアプリケーション脆弱性診断サービス」
http://www.nec.co.jp/service/sec_check
