「8割以上のサイトに脆弱性あり」--MBSD、安全なウェブアプリ構築に向けたASPサービス

　三井物産セキュアディレクション（MBSD）は9月13日、ウェブアプリケーションを安全に保つための新サービス「WebSecナレッジサービス」を21日より提供開始すると発表した。安全なウェブアプリケーションを構築するための知識が習得でき、効率的かつ低コストなセキュリティ対策を講じることができるという。

　MBSD マーケティング本部長の新井一人氏によると、同社が2002年9月より行ってきたウェブアプリケーション検査サービスにおける1000ページあたりの脆弱性の発見数は約830個にものぼるのだという。そのなかで、「セッション管理の不備やSQLインジェクション、データが置き換えられるForm Field Manipulationなど、

MBSD マーケティング本部長、新井一人氏

致命的な脆弱性があると判断されるものも約10％にのぼる」と同氏は説明する。その原因として新井氏は、システム要件が機能にフォーカスされていてセキュリティ要件が十分定義できていないこと、設計者のセキュリティ知識が十分でなく、セッション管理の不備が見受けられること、さらに開発者の知識も十分でなく、入力値のチェックが甘くなるケースがあることなどをあげている。

　WebSecナレッジサービスは、安全なウェブアプリケーションの構築にあたって、どのような脆弱性が存在し、その対応策をどのように行えばよいのかを体系的にまとめたもの。同サービスは、「WebSec教育サービス」、「WebSecナレッジツール」、そしてオプションの「WebSec検査サービス」の3つのステップで提供される。

　WebSec教育サービスは、1日間のトレーニングコース。セキュアなウェブアプリケーションの構築に必要な知識を実地で習得する。WebSecナレッジツールは、実地トレーニングで習得した知識を実践で活用する際に、APS形式で支援を行うツールだ。ウェブアプリケーション構築の要件定義、設計、実装、環境設定といったフェーズごとに、対処すべきセキュリティ項目のチェックリストが生成され、セキュリティ対策が正しく施されているかを確認することができる。オプションのWebSec検査サービスは、WebSecナレッジツールを活用して構築されたシステムが安全であるかどうか確認するため、MBSDのウェブアプリケーションコンサルタントが特別料金にて最終チェックを行うサービスだ。

　同サービスの価格は、開発プロジェクトごとに導入する短期提供コース（3カ月）が、初期費用63万円（5名）から、利用費用52万5000円（同）からとなっている。継続利用向けの長期提供コース（1年間）では、初期費用63万円（同）、利用費用189万円（同）。MBSDでは、今年度中に同サービスを50社に納入することを目標としている。