ツールと疑似攻撃で弱点をあぶり出す 項目を絞った廉価版も登場

セ キ ュリ ティ 診 断 サ ー ビ ス
S e c u r i t y Te s t i n g S e r v i c e s
Pa r t
06
ツールと疑似攻撃で弱点をあぶり出す
項目を絞った廉 価版も登場
「外 部からの攻 撃」に対して、自 社のシステム はどれほど安 全なのか。
あるいは、どれほど無 防 備なのか。これをチェックしてくれるのが
編集部
専 門 業 者が提 供する「セキュリティ診 断サービス」だ。
SQL インジェクションによるデータ
ションにおける脆弱性の有無を検査・
イトの安全対策は費用対効果が見えに
ベース改ざん、クロスサイトスクリプ
分析し、緊急度や対策法をアドバイス
くいため、投資しづらいと感じている企
ティングによる情報漏洩、セッション管
するサービスを展開している。その多く
業は少なくない。そうした企業に向け
理の不備によるなりすまし─。企業の
は、ツールを使ったソースコード解析
て、診断項目や対象を限定することによ
Web サイトが直面する脅威は増え続け
と、技術者が Web サイトに疑似攻撃す
り価格を抑えたサービスも出てきてい
ている。もちろん多くの企業はすでに何
る手動診断を併用している。
る（表 6-2）
。SaaS 型で診断サービスを
らかの対策を講じているが、その堅牢度
一方、ツール診断に絞ったサービス
提供するベンダーも登場した。比較的
のレベルは客観的に判断しにくい。そこ
もある。こちらは、大量の Web アプリ
気軽に試せるこれらのサービスを利用
で検討したいのが、最新のセキュリティ
ケーションを短期間にチェックしたい
して自社の Web サイトの現状をある程
動向に通じた外部の専門家の助けを借
企業に向くと言える。
度つかんでから、より詳細な診断サービ
これらサービスの価格は数十万から
りることだ。
ベンダ ー 各社は、Web アプリケー
と、決して安くはない。しかも、Web サ
スを検討するといった使い方をするの
もよいだろう。
表 6-1　主な Web サイト脆弱性診断サービス
サービス名 / ベンダー
診断から報告までの期間
ツール と手動による診断
Web アプリケーションアドバンスド診断／アルファネット
1 週間∼
EINS/SVA+ ／インテック
個別見積もり
ウェブアプリケーションセキュリティ診断／インフォセック
1 週間∼
WebSiteScan Pro ／インフォリスクマネージ
10 日以内
（速報は 3 日以内）
料金、その他
3URL まで 25 万円（ 税別）から。1URL 追加ごと
に 5 万円
1 画面 22 万 5000 円から。認証などの手動診断は
別途料金
個別見積もり
1URL95 万円∼
Web アプリケーション診断／ NRI セキュアテクノロジーズ
3 営業日以内
5 画面で 164 万円（税別）∼
NEC ActSecure セキュリティ診断サービス／ NEC
2 週間程度
1 サイト 125 万円∼
約 2 週間
入力フォーム 5 ページ（50 項目）で 50 万円から
10 営業日∼
個別見積（サイトの規模などによる）。PCISSC ※ 1
の認定を受けている
ちぇっく ME インスペクション（Web コンテンツ検査）／
NTT-ME
Web アプリケーション診断サービス／ NTT データ・セキュリティ
42 │ IT Leaders │ 2009 │ 05 │
投資と実益をバランスさせる
賢いセキュリティ対策
ツール と手動による診断
サービス名 / ベンダー
Web 脆弱性診断サービス Standard Plan ／
診断から報告までの期間
料金、その他
京セラコミュニケーションシステム
20 ページを診断した場
合、2 週間
「Ad1 サイト 147 万円から。「Economy Plan」、
vanced Plan」などもある
Web アプリケーション脆弱性診断 by LAC ／ KDDI
約 2 週間
ProactiveDefense Standard ／神戸デジタルラボ
1 週間∼
Web アプリケーション脆弱性検査（手動検査）／
さくら情報システム
12 営業日（25 リクエス
ト※ 2 の場合）
Web アプリケーション診断／ JMC リスクソリューションズ
10 画面で 3 日程度
セキュリティ脆弱性検査サービス／シマンテック
静的画面 100 ページの
場合、約 3 週間
Web アプリケーション検査 アドバンスド／住商情報システム
2 日∼
Web アプリケーション診断サービス（ハイブリッド診断）／
セコムトラストシステムズ
約 5 ∼ 8 営業日
脆弱性診断ライトプラン／ソフトバンク・テクノロジー
1 週間∼
脆弱性検査サービス／ディアイティ
1 週間以内（ 緊急報告
は 3 営業日以内）
セキュリティ診断サービス 拡張診断 Lv3 ／
日立システムアンドサービス
標準で約 2 週間
個別見積（サイトの規模などによる）。利用企業の
要望に応じて、経営層向けの報告書も作成する
基本料金 60 万円のほか、1 画面ごとに 10 万円。診
断した Web サイトで半年以内に外部からの攻撃に
よる漏洩などが起きた場合、診断費用を全額返金
基本料金 50 万円のほか、1 リクエストごとに 12 万
円。ツール診断に絞った「スタンダード検査」もある
基本料金 40 万円のほか、1 画面あたり 7 万 5000
円
左記の条件の場合で 500 万円∼。個別に脆弱性診
断ツールを作成する。作成したツール は診断終了
後に顧客に提供する
1 サイト 150 万円∼。ツール診断を中心とした「ス
タンダード」もある
1 サイト 20 画面の場合で 95 万円∼。すべて技術
者の手動による診断メニューも提供する
5 ページまでで 40 万円（サーバーやネットワーク
の脆弱性診断も含む）。診断対象のページ数が無
制限の「スタンダードプラン」もある
7 ページで 30 万円∼
IP アドレス 5 つ分で 147 万円（サーバーやネット
ワークの脆弱性診断も含む）
100 画面まで 84 万円から。複数の診断ツールに
よる診断や侵入テストを含む「エンハンスド」、ツー
ル診断に絞った「クイック」もある
主にツール を
利用して診断
SHIELD セキュリティ診断サービス Web アプリ診断 スタンダード／
日立情報システムズ
3 週間∼
Web アプリケーションセキュリティ診断サービス／富士通
2 日間∼
ウェブアプリケーション診断／ベリサイン
1 週間程度∼
Web アプリケーション脆弱性検査 アドバンスト検査／
三井物産セキュアディレクション
5 日（10 リクエスト
Web アプリケーション診断／ラック
1 週間
Web アプリケーション脆弱性検査サービス／
NEC ネクサソリューションズ
50 ファイル で
約 1.5 か月
50 ファイル で 150 万円∼
アプリケーションソースコード診断サービス／三菱総研 DCS
6 日間∼
1 言語 50 万行以内で 120 万円∼
個別見積もり
1 画面 5 万円∼、基本料金は個別見積もり
※2
の場合）
基本料金 50 万円のほか、1 リクエストごとに 12 万
円。ツール診断に絞ったスタンダード検査もある
10 画面で約 130 万円。より多くの項目を診断する
「アドバンスト」、項目を絞った「ライト」がある
※ 1 PCISSC：PCI Security Standards Council（PCIDSS の推進協議団体）　※ 2 リクエスト：ページ遷移の際に Web ブラウザからサーバーへ送信される httpリクエスト
表 6-2　検査項目や対象領域を限定し、価格を抑えたサービスが出てきた。SaaS 型の診断サービスも登場
サービス名 / ベンダー
サービス内容
料金
Web アプリケーション診断サービス／
SQL インジェクションとクロスサイトスクリプティングに対する脆弱
3URL まで 17 万円（税別）。1URL 追加ご
アルファネット
WebSiteScan ／
性の有無を診断する
SQL インジェクションとクロスサイトスクリプティング、強制ブラウジ
とに 3 万円
インフォリスクマネージ
ングなどよく知られた脆弱性 5 項目をツールにより診断する
SQL インジェクションやクロスサイトスクリプティング、クロスサイト
Web 健康診断／
1URL19 万 8000 円〜
リクエストフォージェリなど 12 項目について診断する。1 サイト約
18 万円（サーバーの脆弱性診断を含む）
Web セキュリティ診断・初診コース／
10 ページ程度の抜き取り診断
SQL インジェクションとクロスサイトスクリプティングに特化して診
1ド メイン 10URL ま で で 6 万 3000 円。
ラック
断する
京セラコミュニケーションシステム
WebChecker ／シーイーシー
gred セキュリティサービス／
セキュアブレイン
SQL インジェクション、クロスサイトスクリプティング、OS コマンド
インジェクションの危険性を診断する SaaS 型サービス
SQL インジェクションなどによる Web サイトの改ざんの有無を、1
日 4 ～ 24 回確認する SaaS 型サービス。社内ネットワーク上で発見
Amazon でも販売している
1 カ月に 1 回の定期検査を実施する「定期
Web アプリケーション検査」は年間 24 万
円、単発の検査は 1 回につき 8 万円
1 カ月 3 万円〜
された不審ファイルを解析する機能も提供する
│ IT Leaders │ 2009 │ 05 │ 43