国内の攻撃傾向を踏まえて一日一度の脆弱性検査、インフォリスクマネージ

インフォリスクマネージは10月より、インターネットに公開されたWebサーバの脆弱性を一日一回検査する「SiteScan 2.0 Enterprise Edition」の提供を開始する。

[高橋睦美，ITmedia]

　インフォリスクマネージは10月より、インターネットに公開されたWebサーバやネットワーク機器の脆弱性を毎日検査し、問題点の発見を支援する脆弱性検査サービス「SiteScan 2.0 Enterprise Edition」の提供を開始する。

　このサービスは、インターネット側から企業システムをスキャンし、どういった脆弱性が存在するかをチェックするもの。インターネットに開かれたポートやOSのバージョン、アクセス制御の確認やパスワード設定といった基本的なセキュリティ検査、約500項目を実施する。ただし、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性は対象外だ。

　SiteScan 2.0 Enterprise Editionは、スポット的なサービスとは異なり、毎日一回、自動的に検査を行う点が特徴だ。「多くの企業では、手間やコストがかかることから毎日検査を行うことは非現実的になっている」（同社取締役の瀬田陽介氏）。同サービスにより機械的に毎日一回検査を実施することで、リスクの可視化と対策の実施に至るまでのプロセスを簡素化できるとした。

　国内でも幾つか、一日一回の脆弱性検査を行うサービスが登場している。SiteScan 2.0 Enterprise Editionのもう1つのメリットは、セキュリティ企業ラックとの連携により、日本国内での攻撃の傾向を踏まえて脆弱性の検査と結果の優先順位付けを行えることだという。

　検査に当たって、対象となるサーバや機器に専用エージェントを導入する必要はない。検査に要する時間は15〜30分程度で、ほとんどシステムに負荷を与えることはないという。主な対象製品として、ApacheやMicrosoft IISといったWebサーバのほか、SendmailMicrosoft Exchange Server、Squidやdelegate、Windows Terminal Serviceなどが挙げられている。

SiteScan 2.0 Enterprise Editionの検査結果を示すポータル画面

　検査結果は専用ポータルを通じて把握できる。脆弱性の深刻さや緊急性に応じて5段階にレベル分けした形で表示され、脆弱性の詳細を確認できるほか、対応の有無、対応予定日などを記録することが可能だ。

　同社は当初、「アイティーマネージ」の名称で主にマネージドサービスプロバイダー事業を手がけてきたが、セキュリティ事業の強化にともない2005年11月に社名を変更。情報リスクアセスメント＆コンサルティングやセキュリティ対策といったサービスを展開してきた。SiteScan 2.0 Enterprise Editionで検出された脆弱性の修正、対策といった部分は、こうしたセキュリティ事業でサポートする考え。

　SiteScan 2.0 Enterprise Editionの料金は、3サーバ（IPアドレス）当たり年額72万円1サーバ（IPアドレス）で年額24万円。マネジメントサービスと組み合わせることで、インターネットからの検査だけでなく内部セグメントに設置されたサーバに対する検査も行えるという。