Webアプリを安全にする「密度の濃い1日」、三井物産子会社

2004/9/14

 三井物産のセキュリティ子会社、三井物産セキュアディレクション(MBSD)はユーザー企業、システム・インテグレータを対象に、安全なWebアプリケーションを開発するための教育サービスとツールの提供を始めると9月13日に発表した。MBSDは約2年前から企業に対してWebアプリケーションの検証やコンサルティング事業を展開。教育サービスも行ってきて400人以上が受講したといい、これまで蓄積してきたノウハウを新サービスに活用する考え。MBSDでは「Webアプリケーションについてのこのようなサービスが展開できるのは国内でMBSDだけ」と自信をみせている。

三井物産セキュアディレクション マーケティング本部 新井一人氏

 提供するのは2つのサービス。Webアプリケーションのセキュリティのついてトレーニングを行う「WebSec ナレッジサービス」と、Webアプリケーションの開発時に必要なセキュリティ対策を採っているかをチェックリスト形式で確認できる「WebSec ナレッジツール」。

 WebSec ナレッジサービスは、「Webアプリケーションを開発する場合に最低限、知っておかなくてはならないことをトレーニングする」(同社 マーケティング本部長 新井一人氏)。講座形式で期間は1日。MBSDで検査を実施しているコンサルタントがWebアプリケーションへの代表的な攻撃の仕組みや開発時のポイントなどをデモンストレーションを交えて解説する。開発の要件定義、設計、実装など各フェイズごとに注意すべき点を示す内容で、「密度の濃い1日を過ごしてもらう」(MBSD)という。

「WebSec ナレッジツール」で出力されるチェックリストのサンプル(クリックで拡大表示します)

 WebSec ナレッジツールはナレッジサービスをベースにしたチェックリストを作成できるツール。MBSDが用意したWebサイトにアクセスし、開発するWebアプリケーションの基本的な仕様を入力すると、開発時に実施すべきセキュリティ対策のチェックリストがExcelのファイル形式で出力される。開発者は対策の実施の有無をリストでチェックする。対策項目についての解説も参照できる。チェックに応じて各フェイズの対策の実施状況をグラフなどで表示する機能もある。

 また、MBSDはWebSec ナレッジサービスの利用企業に対して、MBSDが従来から行ってきたWebアプリケーションのセキュリティ検査を、本来の価格の約40%引きで提供する。検査ツールなどでは把握できないセキュリティの脆弱性を発見し、具体的な修正方法もレポートするという。

 WebSec ナレッジサービス(ナレッジツールの提供含む)はSIer向けに3カ月の短期間で提供するサービスと、Webアプリケーションを頻繁に開発し、長期間運営するユーザー企業、SIer向けに1年間提供するサービスの2つを用意。3カ月のサービスは5人までの利用で教育サービスが63万円から、ツール、サポートが52万5000円からとなっている。1年間のサービスでは教育サービスが63万円(5人まで)から、ツール、サポートが189万円から。サービス開始は9月21日。MBSDでは2005年3月末までに50社の利用を見込んでいる。

(編集局 垣内郁栄)

[関連リンク]
三井物産セキュアディレクションの発表資料(PDF)

[関連記事]
三井物産が情報セキュリティ専門の子会社を設立 (@ITNews)
Webブラウザだけじゃない、「Mozilla Japan」のミッションとは (@ITNews)
電子メールアドレスを公開鍵にすると何がよくなる? (@ITNews)
「Web Application Securityフォーラム」設立、ベンダ6社 (@ITNews)
Webアプリを"手作業"で検査、三井物産のセキュリティサービス (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -