1日1回の検査でWebサイトに「安心感」を――三和コムテック

三和コムテックは、脆弱性検査とセキュリティ証明シールを組み合わせた「HACKER SAFE」サービスを通じて、Webサイトに安心感を提供していきたいという。

» 2006年07月10日 12時45分 公開
[高橋睦美,ITmedia]

 「オンラインショッピングサイトでは安心感が売り上げにつながる」――Webサイトのセキュリティを1日1回検査し、証明シールを付与するサービス「HACKER SAFE」を提供している三和コムテックの代表取締役社長、柿澤晋一郎氏はこのように語る。

 HACKER SAFEは、米ScanAlertが開発したセキュリティサービスだ。三和コムテックでは2004年7月より国内での提供を開始しており、すでに約2000サイトが同サービスを利用しているという。

 柿澤氏によると、同社は以前からWebサイトのセキュリティ診断を実施していたが、安全なのは5社に1社だけという割合。残る大多数は「穴だらけ」という状況だった。HACKER SAFEは、こうした現状を踏まえ、企業Webサイトのセキュリティ向上を支援すべく提供されている。

 このサービスでは、収集した脆弱性データベースと顧客のシステムプロファイルを元に、Webや電子メール、DNSなどの各種サーバ、ルータやファイアウォールといったネットワーク機器の脆弱性を1日1回自動的に検査し、Webポータルを通じて検査結果と対処方法をレポートする。ネットワークレベルでの検査だけでなく、SQLインジェクションをはじめとするWebアプリケーションの脆弱性に関する検査も行われる。サイトのリニューアルなどのタイミングで、必要に応じて手動で検査を行ったり、DoS攻撃などを含んだ診断を実施することも可能だ。

 検査結果に問題がなければ、最終検査日を示した「セキュリティ証明シール」の画像が配信される。継続的な脆弱性検査に、証明シールを組み合わせている点でユニークなサービスだ。

 もし深刻な脆弱性が発見された場合はサイト管理者に通知が行き、72時間以内に修正されなければシールが消滅する仕組みだ。ただし、アプリケーション互換性の問題などからパッチの適用が困難な場合でも、何らかの回避策を講じている場合は修正したものと見なされるという。

柿澤氏 三和コムテックの代表取締役社長、柿澤晋一郎氏は、HACKER SAFEをホームセキュリティ会社のステッカーのようなものにたとえる

 「HACKER SAFEは、ホームセキュリティ会社の監視下にあり、きちんと巡回が行われていることを表すステッカーのようなもの」(柿澤氏)

 ただし、ホームセキュリティ会社との違いは、毎日検査を行い、その結果に基づいてステッカー(証明シール)が発行されることだ。「昨日は安全だったかもしれないが、今日は新しい脆弱性が発見されているかもしれない」(柿澤氏)。

 また、検査はリモートから自動スキャンの形で実施されるため、専用ハードウェア/ソフトウェアなどを導入する必要がないこと、時間をかけてスキャンを実施するためシステムへの負荷が少ないことなども特徴という。

 サービス内容は徐々に強化されており、脆弱性検査の項目は現在、1万2000項目以上に上る。また、6月からは日本にスキャンサーバを設置し、レスポンスタイムと信頼性の向上を図った。さらに、DMZに置かれている機器をスキャンする「ディスカバリ」オプションも提供する。「意外と、設置した後に忘れさられてしまう機器は多いが、そうした機器が脆弱性につながることも多い」(柿澤氏)

 HACKER SAFEの利用料金は、Webサーバ1台とデバイス3台から構成される1ドメイン当たり年間29万8000円。AIU保険との提携による個人情報漏洩保険が標準で付属する。

 柿澤氏は、同サービスによって利用者に安心感を提供し、それが顧客の売り上げや登録会員数の増加につながっていると述べた。「第三者がSANS/FBIやPCIといった明確な基準に基づいて検査を行うことで、『ここで買い物をしても大丈夫だ』という安心感を提供できているのではないか」(同氏)。事実、セキュリティ証明シールを表示させることで、平均15%の売り上げ増が実現できたという分析結果があるという。さらに副次的な効果として、Google検索のランキングが大幅にアップするというメリットもあるという。

 「Webサイトの利用者にとっても運営者にとっても、セキュリティは最大の懸念。HACKER SAFEによってその両方に、さまざまな形で安心感を提供する」(同氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ