年中無休の脆弱性診断サービス、SIDCが5月より提供

エス・アイ・ディー・シーは5月22日より、企業ネットワークの脆弱性の有無をリモートから毎日検査する診断サービス「Trust-Watch」の提供を開始する。

[高橋睦美，ITmedia]

　セキュリティ企業のエス・アイ・ディー・シー（SIDC）は4月24日、企業ネットワークの脆弱性の有無をリモートから毎日検査する診断サービス「Trust-Watch」を、5月22日より提供することを発表した。

　Trust-Watchは、外部に公開されているWebサーバやWebアプリケーションのほか、ルータやスイッチ、ファイアウォールといったネットワーク機器に脆弱性が存在しないかどうかをインターネットから診断するサービス。検査は毎日、同社が独自に開発したシステムによって自動的に行われるため、常に最新の脆弱性をチェックできる点が特徴だ。

　検査は、いわゆるポートスキャンやDoS攻撃に対する耐性をテストする「ネットワークスキャン」、ホストに存在する脆弱性やパスワードの強度などをチェックする「ネットワーク脆弱性診断」、クロスサイトスクリプティングやSQLインジェクションといった脆弱性の有無を検査する「Webアプリケーション脆弱性診断」の3種類から構成されている。同社によると、対象となる環境にもよるが、検査項目は約5000〜1万項目に上るという。

　同社代表取締役社長の里吉昌博氏は、「これまではPCやストレージの盗難による情報漏えいが多かったが、昨年当たりからはWebサイトを狙った攻撃も増加している」と述べ、外部からの不正アクセスを防ぐための日々の監査が、セキュリティレベルを高めることにつながるとした。

　診断結果は、顧客ごとに提供される専用ポータルサイトを通じて提供される。発見された脆弱性はリスクに応じて「緊急」「重要」「高度」「中度」「低度」の5段階に分けて表示され、それぞれ問題の詳細や対処法などが示される仕組みだ。検査結果は最長で1年間保存でき、過去の診断結果と比較し、どこがどの程度改善されたかを把握することも可能だ。

　Trust-Watchの料金は、グローバルIPアドレス5個／URL（ドメイン）1つの基本サービスが31万5000円。別途IPアドレスやドメインを追加できるほか、要望に応じて、脆弱性の詳細や個別の対策方法をアドバイスするオプションサービスが利用できる。

　また同サービスには、東京海上日動火災保険の「個人情報漏えい保険」が付帯している。サービス利用中のWebサイトに不正アクセスが発生し、個人情報漏えい事故が発生した場合には、損害賠償金や対応費用などが、それぞれ1000万円を限度に補償される仕組みだが、「緊急」「重要」クラスの脆弱性が残っていない場合に限られる。

　同社では、エンジニアによりより深いレベルの検査を実施する検査サービスも提供しているが、Trust-Watchは、広くインターネットを利用している企業にたいし「まず第一歩のサービスとして提供していきたい」（里吉氏）という。