新発見の脆弱性に“日々”対応、SIDCがデイリー脆弱性診断サービス

2006/4/25

 エス・アイ・ディ・シー(SIDC)は4月24日、企業が外部に公開しているWebサイトやWebアプリケーションを、ポートスキャンや擬似攻撃などの手法を使ってリモートで毎日チェックする脆弱性診断サービス「Trust-Watch」を5月22日に始めると発表した。チェックを毎日行うことで次々に発見される脆弱性や攻撃手法にもすばやく対応できるという。

SDICの代表取締役社長 里吉昌博氏

 診断対象は、ルータ、スイッチ、ファイアウォールなどのネットワーク機器、WebサーバやDNSサーバ、電子メールサーバ、データベースなどのサーバ、Webアプリケーションなど。米国家安全保障局(NSA)、米コンピュータセキュリティ研究所(CSI)、米連邦標準技術局(NIST)、米連邦捜査局(FBI)、SANSなどが定めるセキュリティ基準と、SIDCの1000件におよぶセキュリティ監査のノウハウから1万以上の診断項目を選出して、チェックする。

 診断はSIDCが開発し、国内に設置するシステムで自動で行う。レポートはSIDCが開設する専用Webサイトを通じて発行する。診断はIPアドレスごとに、即対応を求める「緊急」、1日以内の対応が必要な「重要」、2日以内対応の「高度」、30日以内に対応する「中度」、任意で対応する「低度」の5段階で脆弱性リスクを表示する。レポートではSIDCが推奨する対応策を読むことできるほか、オプションで同社のエンジニアに対応を求めることもできる。

 SDICの代表取締役社長 里吉昌博氏は「日々の対応が求められる顧客の声に応えてTrust-Watchを開発した。企業の意識レベルやセキュリティレベルの向上に意味がある」と語った。同社 取締役の内田哲氏は「毎日やることに意味がある」と語り、セキュリティ診断におけるデイリーチェックの重要性を指摘した。

 Trust-Watchは企業のWebサイトや、ユーザーの個人情報や資金を扱わないWebアプリケーションが主な対象。内田氏は「Trust-Watchの限界はエンジニアを介さないこと。Webサイトに依存したビジネスを展開している企業は、エンジニアによる個別のセキュリティ監査を受けた方がよい。Trust-Watchはこれまで監査を受けたことがない企業の第一歩として利用してもらえる」と述べた。

 Trust-Watchは、5つのIPアドレス、1つのドメインURLまでの診断で年31万5000円。診断するIPアドレスはオプションで追加できる。SDICは東京海上日動火災保険と協力して、Trust-Watchに付帯する「個人情報漏えい保険」を開発した。Trust-Watchを利用している企業で、不正アクセスが発生し、個人情報が漏えいした場合の損害賠償請求や費用損害に対して、最大1000万円の保険金を支払う。「緊急」「重要」「高度」の診断が出ていたにもかかわらず対応しなかった場合は保証外。

 販売は主にパートナー企業を通じて行う。初年度に1600件の受注、4億5000万円の売り上げを期待している。

(@IT 垣内郁栄)

[関連リンク]
「Trust-Watch」のWebサイト

[関連記事]
意外に普通? 防衛庁Winny対策PCの中身は (@ITNews)
ISSが無償対策ツールを配布、IEの脆弱性未対応を「非常に憂慮」 (@ITNews)
ネットで検証、パッチなしのWindows 2000は1時間強で侵入される (@ITNews)
「フルフルで調べます」、シマンテックが中小向け脆弱性調査 (@ITNews)
30万円、最短1営業日で結果を出すWebサイトセキュリティ診断 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -