必要なときにいつでもWebアプリの脆弱性チェック、MBSDがASP形式で提供

三井物産セキュアディレクションは4月16日より、ASP形式でWebアプリケーションの脆弱性を検査する「WebSec ASPサービス」を開発者向けに提供する。

[ITmedia]

　三井物産セキュアディレクション（MBSD）は3月9日、ASP形式でWebアプリケーションの脆弱性を検査する「WebSec ASPサービス」を発表した。主にWebアプリケーションの開発を手がける企業を対象に、4月16日より提供を開始する。

　MBSDはこれまで、コンサルタントが手動で細部に至るまで脆弱性をチェックする「WebSec検査アドバンスト」と、過去の検査のノウハウをツール化し、それを用いて検査を実施する「WebSec検査スタンダード」といったWebアプリケーションの脆弱性検査サービスを提供してきた。

　新サービスのWebSec ASPサービスでは、WebSec検査スタンダードにも用いられている検査用エンジンとシグネチャを活用し、インターネット越しに、必要なタイミングで検査を行えるようにした。コンサルタントの手配を待つことなく、Webアプリケーション開発プロジェクトの遅れや仕様変更などに合わせ、いつでもセキュリティチェックを実施できる。また、専用ツールを導入することなく手軽に脆弱性検査を実施できる点もメリットという。

　同サービスを利用する際には、まずJavaベースの専用ツールを用いて検査対象のWebアプリケーションを巡回し、サーバ／クライアント間でやり取りされる一連のリクエストとレスポンスを記録する。このデータをMBSD側にアップロードすると、シグネチャと付き合わせながら、さまざまな引数を入力して検査が実施され、結果がWeb上に表示される仕組みだ。ページ単位で順番を指定しての検査も可能という。

WebSec ASPサービスのインタフェース

　WebSec ASPサービスで検査可能なのは、クロスサイトスクリプティングやSQLインジェクション、バッファオーバーフローや設定ミスによる情報漏洩などで、シグネチャには適宜アップデートが加えられる。入力値を推測して試す人手による検査ほど細かなチェックまではカバーしていないが、主要な脆弱性を一通り洗い出すことが可能だ。検出された脆弱性の説明と対策方法の説明も、簡単ながら用意されている。

　MBSDの事業企画部部長の新井一人氏は、「開発者側もある程度セキュリティを認識するようになっているが、こうしたサービスを開発工程の中に組み入れることで、見落とされている部分を注意できれば」と述べた。同じく事業企画部サービス企画グループ、シニアコンサルタントの国分裕氏も、「数年前に比べるとWebアプリケーションの脆弱性は若干減ってきている。しかし、人が作るものである以上、ミスはある。網羅的にチェックすることで、そうしたミスを減らすことができるのではないか」と指摘している。

　WebSec ASPサービスはID単位で課金され、価格は初期登録費用が15万円、年間検査料は360万円。これとは別にスポット契約も用意されており、情報アクセス／保管料が年額15万円、検査料金は月額80万円となっている。