Webアプリを“手作業”で検査、三井物産のセキュリティサービス

2002/10/8

 三井物産GTIプロジェクトセンタはECサイトなどでWebアプリケーションのセキュリティ検査を行い、脆弱性の発見と修復を提言する新サービスを10月7日に始めたと発表した。同様のサービスはほかのセキュリティ会社も行っているが、新サービスの特徴はツールに頼らない“手作業”。顧客企業との対話を重視して、顧客のサイトに最適なセキュリティを提案する。

三井物産GTIプロジェクトセンタのジェネラルマネージャ 岡田卓也氏は「個人情報の流出などの問題は多数起きているが、Webアプリケーションに特化した検査サービスはほかにない」と述べ、新サービスの優位性をアピールした

 新サービスは「Webアプリケーション検査サービス」。価格はサイトあたり300万円から。ほかのサービスが商用ツールを使いWebアプリケーションのセキュリティチェックを行っているのと異なり、専任のスタッフがサイトを実際に閲覧して、脆弱性がないかどうか確認する。クロスサイトスクリプティングやCookieの脆弱性、認証方法などを検査。サイトがどのようなサービスを利用し、どのようなWebアプリケーションを提供しているかを人間が把握することで、ツールでは見逃しがちな脆弱性も発見できるという。

 検査はスタッフがWebブラウザを使い、Webサイトなどにさまざまなアタック(擬似アタック)をかけることで行う。これまで判明しているセキュリティホールを攻撃するやり方や、独自に開発した手法で攻撃をかけて、サイトのセキュリティをチェックする。実際の不正アクセスにできるだけ近い方法を試すことで検査の信頼性を上げるのが狙いだ。

 検査の結果はレポートとして顧客企業に提示。改善策を提言する。検査中でも重大な脆弱性をWebアプリケーションに発見した場合は、顧客企業に通知。改善策も知らせるなど柔軟な姿勢で対応する。場合によってはCGIの具体的なコーディングについても提案する。

 ツールを使わずに手作業が中心となるため、サイト全体を検査するまで3〜4週間かかるという。依頼する企業はサイトを停止することなく、検査を受けることができる。三井物産GTIプロジェクトセンタでは、開始1年で30社程度の受注を見込んでいる。

 三井物産GTIプロジェクトセンタのジェネラルマネージャ 岡田卓也氏は新サービスについて「ツールによる均一的な方法では十分な検査はできない。新サービスはサイトごとの特性を考えて、脆弱性を見つけ出す」と特徴を説明した。

 三井物産GTIプロジェクトセンタはまた、サイトの開発者向けにセキュアなWebアプリケーションを設計、構築するための講習会を10月22〜23日に開くと発表。受講料は24万8000円。Webアプリケーションを使ったサイトを構築するうえで、脆弱性を未然に防ぐための技術を習得できるという。

 出来合いのツールを使うだけでは完全なセキュリティ検査が難しいというのは確かだろう。顧客企業にとっても専任のスタッフが検査してくれた方が信頼して任せることができる。ツールを使えるだけでなく、経験と本当のスキルを持ったセキュリティエンジニアがますます必要とされそうだ。

(垣内郁栄)

[関連リンク]
三井物産GTIプロジェクトセンタ

[関連記事]
相次ぐIDSソリューション、注目を集める理由とは (@ITNews)
セキュリティポリシー策定の問題点を解消したツール、アズジェント (@ITNews)
[Interview] 不正侵入検知をもっとセキュリティのメジャー分野にしたい (@ITNews)
ラスト“1メートル”の問題を解決する新資格制度とは? (@ITNews)
三井物産、新システムでセキュリティビジネスを開始 (@ITNews)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン