Comments
Description
Transcript
ツールと疑似攻撃で弱点をあぶり出す 項目を絞った廉価版も登場
セ キ ュリ ティ 診 断 サ ー ビ ス S e c u r i t y Te s t i n g S e r v i c e s Pa r t 06 ツールと疑似攻撃で弱点をあぶり出す 項目を絞った廉 価版も登場 「外 部からの攻 撃」に対して、自 社のシステム はどれほど安 全なのか。 あるいは、どれほど無 防 備なのか。これをチェックしてくれるのが 編集部 専 門 業 者が提 供する「セキュリティ診 断サービス」だ。 SQL インジェクションによるデータ ションにおける脆弱性の有無を検査・ イトの安全対策は費用対効果が見えに ベース改ざん、クロスサイトスクリプ 分析し、緊急度や対策法をアドバイス くいため、投資しづらいと感じている企 ティングによる情報漏洩、セッション管 するサービスを展開している。その多く 業は少なくない。そうした企業に向け 理の不備によるなりすまし─。企業の は、ツールを使ったソースコード解析 て、診断項目や対象を限定することによ Web サイトが直面する脅威は増え続け と、技術者が Web サイトに疑似攻撃す り価格を抑えたサービスも出てきてい ている。もちろん多くの企業はすでに何 る手動診断を併用している。 る(表 6-2) 。SaaS 型で診断サービスを らかの対策を講じているが、その堅牢度 一方、ツール診断に絞ったサービス 提供するベンダーも登場した。比較的 のレベルは客観的に判断しにくい。そこ もある。こちらは、大量の Web アプリ 気軽に試せるこれらのサービスを利用 で検討したいのが、最新のセキュリティ ケーションを短期間にチェックしたい して自社の Web サイトの現状をある程 動向に通じた外部の専門家の助けを借 企業に向くと言える。 度つかんでから、より詳細な診断サービ これらサービスの価格は数十万から りることだ。 ベンダ ー 各社は、Web アプリケー と、決して安くはない。しかも、Web サ スを検討するといった使い方をするの もよいだろう。 表 6-1 主な Web サイト脆弱性診断サービス サービス名 / ベンダー 診断から報告までの期間 ツール と手動による診断 Web アプリケーションアドバンスド診断/アルファネット 1 週間∼ EINS/SVA+ /インテック 個別見積もり ウェブアプリケーションセキュリティ診断/インフォセック 1 週間∼ WebSiteScan Pro /インフォリスクマネージ 10 日以内 (速報は 3 日以内) 料金、その他 3URL まで 25 万円( 税別)から。1URL 追加ごと に 5 万円 1 画面 22 万 5000 円から。認証などの手動診断は 別途料金 個別見積もり 1URL95 万円∼ Web アプリケーション診断/ NRI セキュアテクノロジーズ 3 営業日以内 5 画面で 164 万円(税別)∼ NEC ActSecure セキュリティ診断サービス/ NEC 2 週間程度 1 サイト 125 万円∼ 約 2 週間 入力フォーム 5 ページ(50 項目)で 50 万円から 10 営業日∼ 個別見積(サイトの規模などによる)。PCISSC ※ 1 の認定を受けている ちぇっく ME インスペクション(Web コンテンツ検査)/ NTT-ME Web アプリケーション診断サービス/ NTT データ・セキュリティ 42 │ IT Leaders │ 2009 │ 05 │ 投資と実益をバランスさせる 賢いセキュリティ対策 ツール と手動による診断 サービス名 / ベンダー Web 脆弱性診断サービス Standard Plan / 診断から報告までの期間 料金、その他 京セラコミュニケーションシステム 20 ページを診断した場 合、2 週間 「Ad1 サイト 147 万円から。「Economy Plan」、 vanced Plan」などもある Web アプリケーション脆弱性診断 by LAC / KDDI 約 2 週間 ProactiveDefense Standard /神戸デジタルラボ 1 週間∼ Web アプリケーション脆弱性検査(手動検査)/ さくら情報システム 12 営業日(25 リクエス ト※ 2 の場合) Web アプリケーション診断/ JMC リスクソリューションズ 10 画面で 3 日程度 セキュリティ脆弱性検査サービス/シマンテック 静的画面 100 ページの 場合、約 3 週間 Web アプリケーション検査 アドバンスド/住商情報システム 2 日∼ Web アプリケーション診断サービス(ハイブリッド診断)/ セコムトラストシステムズ 約 5 ∼ 8 営業日 脆弱性診断ライトプラン/ソフトバンク・テクノロジー 1 週間∼ 脆弱性検査サービス/ディアイティ 1 週間以内( 緊急報告 は 3 営業日以内) セキュリティ診断サービス 拡張診断 Lv3 / 日立システムアンドサービス 標準で約 2 週間 個別見積(サイトの規模などによる)。利用企業の 要望に応じて、経営層向けの報告書も作成する 基本料金 60 万円のほか、1 画面ごとに 10 万円。診 断した Web サイトで半年以内に外部からの攻撃に よる漏洩などが起きた場合、診断費用を全額返金 基本料金 50 万円のほか、1 リクエストごとに 12 万 円。ツール診断に絞った「スタンダード検査」もある 基本料金 40 万円のほか、1 画面あたり 7 万 5000 円 左記の条件の場合で 500 万円∼。個別に脆弱性診 断ツールを作成する。作成したツール は診断終了 後に顧客に提供する 1 サイト 150 万円∼。ツール診断を中心とした「ス タンダード」もある 1 サイト 20 画面の場合で 95 万円∼。すべて技術 者の手動による診断メニューも提供する 5 ページまでで 40 万円(サーバーやネットワーク の脆弱性診断も含む)。診断対象のページ数が無 制限の「スタンダードプラン」もある 7 ページで 30 万円∼ IP アドレス 5 つ分で 147 万円(サーバーやネット ワークの脆弱性診断も含む) 100 画面まで 84 万円から。複数の診断ツールに よる診断や侵入テストを含む「エンハンスド」、ツー ル診断に絞った「クイック」もある 主にツール を 利用して診断 SHIELD セキュリティ診断サービス Web アプリ診断 スタンダード/ 日立情報システムズ 3 週間∼ Web アプリケーションセキュリティ診断サービス/富士通 2 日間∼ ウェブアプリケーション診断/ベリサイン 1 週間程度∼ Web アプリケーション脆弱性検査 アドバンスト検査/ 三井物産セキュアディレクション 5 日(10 リクエスト Web アプリケーション診断/ラック 1 週間 Web アプリケーション脆弱性検査サービス/ NEC ネクサソリューションズ 50 ファイル で 約 1.5 か月 50 ファイル で 150 万円∼ アプリケーションソースコード診断サービス/三菱総研 DCS 6 日間∼ 1 言語 50 万行以内で 120 万円∼ 個別見積もり 1 画面 5 万円∼、基本料金は個別見積もり ※2 の場合) 基本料金 50 万円のほか、1 リクエストごとに 12 万 円。ツール診断に絞ったスタンダード検査もある 10 画面で約 130 万円。より多くの項目を診断する 「アドバンスト」、項目を絞った「ライト」がある ※ 1 PCISSC:PCI Security Standards Council(PCIDSS の推進協議団体) ※ 2 リクエスト:ページ遷移の際に Web ブラウザからサーバーへ送信される httpリクエスト 表 6-2 検査項目や対象領域を限定し、価格を抑えたサービスが出てきた。SaaS 型の診断サービスも登場 サービス名 / ベンダー サービス内容 料金 Web アプリケーション診断サービス/ SQL インジェクションとクロスサイトスクリプティングに対する脆弱 3URL まで 17 万円(税別)。1URL 追加ご アルファネット WebSiteScan / 性の有無を診断する SQL インジェクションとクロスサイトスクリプティング、強制ブラウジ とに 3 万円 インフォリスクマネージ ングなどよく知られた脆弱性 5 項目をツールにより診断する SQL インジェクションやクロスサイトスクリプティング、クロスサイト Web 健康診断/ 1URL19 万 8000 円〜 リクエストフォージェリなど 12 項目について診断する。1 サイト約 18 万円(サーバーの脆弱性診断を含む) Web セキュリティ診断・初診コース/ 10 ページ程度の抜き取り診断 SQL インジェクションとクロスサイトスクリプティングに特化して診 1ド メイン 10URL ま で で 6 万 3000 円。 ラック 断する 京セラコミュニケーションシステム WebChecker /シーイーシー gred セキュリティサービス/ セキュアブレイン SQL インジェクション、クロスサイトスクリプティング、OS コマンド インジェクションの危険性を診断する SaaS 型サービス SQL インジェクションなどによる Web サイトの改ざんの有無を、1 日 4 ~ 24 回確認する SaaS 型サービス。社内ネットワーク上で発見 Amazon でも販売している 1 カ月に 1 回の定期検査を実施する「定期 Web アプリケーション検査」は年間 24 万 円、単発の検査は 1 回につき 8 万円 1 カ月 3 万円〜 された不審ファイルを解析する機能も提供する │ IT Leaders │ 2009 │ 05 │ 43