プレスリリース 2007年

NECネクサソリューションズ株式会社（本社：東京都港区、代表取締役執行役員社長：渕上岩雄）はこのほど、セキュリティクリニック「システムぜい弱性検査サービス」の販売を開始します。

セキュリティクリニック「システムぜい弱性検査サービス」は、お客様が外部に公開しているWebサーバ上のアプリケーションのぜい弱性を検出、一般的な対策方針までを明確に打ち出す検査サービスです。ソースファイルを直接検査し、プログラマが作りこんでしまったアプリケーション上のぜい弱性を発見可能なCategory Aと、ツールを使って、ネットワーク機器や様々なホストに対し、ネットワーク及びOS･サービスレベルでのぜい弱性を発見するCategory B、さらに継続して検査する場合に有効な差分・定期検査サービスで構成されます。

今回販売を開始致します「システムぜい弱性検査サービス」の特徴は、Category Aのホワイトボックス型検査手法にあります。お客様からソースコードをお借りして検査するため、侵入試行型検査（ブラックボックス型検査手法）に比べ非破壊かつ安全に、公開前のシステムでも検査が可能となります。特に、個人情報を取り扱う、または決済機能を有するWebサイトを運営しているお客様では、現行システムに対する検査負荷をまったく考慮することなく、システムへの高度な検査を実施できます。

「システムぜい弱性検査サービス」は、ソースコードの直接検査という特性から、プラットフォームやその他の環境の制約を受けることがありません。セキュリティ検査ツールではほとんど発見できなかった潜在的なぜい弱性さえも、きめ細かな検証の対象となります。

もちろん、ここ数年のセキュリティ事件で多くの被害を発生させている、XSS（クロスサイトスクリプティング）、SQLインジェクション、CGIやサーバサイドプログラムのぜい弱性などを検査できます。また、タグやメタキャラクタの処理漏れ、セッション管理におけるぜい弱性やバッファオーバーフロー、パラメータのチェック漏れなども、検出対象に包含されております。

「システムぜい弱性検査サービス」では、アプリケーション解析支援用ツールによる解析後の単なる機械的なアプローチではなく、セキュリティソフトウェア開発経験のある当社エンジニアが、各言語ごとにチェックポイントを作成し、コードのぜい弱性を検査します。報告レポートでは、ぜい弱性ごとにインデックスを作成し、それぞれのぜい弱度、脅威度、対策コストからマネージメントレベルを設定します。お客様が、どこから対策を進めるかを決定する指標としてご利用頂くことができます。

当社は、ポリシーや、マネジメントといった総合的な診断を行う“セキュリティクリニック”「総合診断サービス」を先行提供しております。一般的に高価格になりがちなセキュリティ診断作業ではありますが、当社はこの総合診断を、手軽な検査メニューとして位置づけています。まずは検査ニーズを明確にし、さらに具体的かつ詳細な診断を図りたいお客様には、この「総合診断サービス」と「システムぜい弱性検査サービス」の組み合わせが、最適な検査シナリオであることを確信しております。

• Category A：Webアプリケーションぜい弱性検査サービス

  各企業固有のアプリケーションのソースを検査し、Webアプリケーションのぜい弱性を検査します。

• Category B：侵入検査サービス

  ネットワーク機器、ホストぜい弱性検査および擬似アタックによりぜい弱性を検査します。

• Category B：ネットワーク機器/ホストぜい弱性検査サービス

  商用のぜい弱性検査ツールを用いて、お客様の検査対象機器のセキュリティホールの存在を検査します。外部（リモート）と、内部（オンサイト）の２種類があります。

• 差分・定期検査サービス

  Webアプリケーションの機能追加や更新の度合いに応じて、一定期間内で、ぜい弱性を定期的に検査します。

Webアプリケーションぜい弱性検査サービスの価格は、ASP、.net、JAVAアプリケーションで開発されたファイル数50のWebアプリケーションを前提として、約150万円～。

NECネクサソリューションズでは、システムぜい弱性検査サービス全体で、今後3年間で、約1億5千万円の販売を見込んでいます。

• セキュリティクリニック「システム脆弱性検査サービス 」

NECネクサソリューションズ
ネットワークソリューション事業部 セキュリティビジネスセンター　佐藤・三田・西川
Tel: 03-5730-5256