logo

CSRF対策診断・対策措置を期間限定で官公庁・自治体・教育機関などへ無償提供



2012年11月8日
ニュースリリース

SST、CSRF対策診断・対策措置を期間限定で
官公庁・自治体・教育機関などへ無償提供
~WAFサービス「Scutum」が掲示板への不正書き込み対策を支援します~


Webアプリケーションセキュリティのスペシャリスト企業である、株式会社セキュアスカイ・テクノロジー(東京都文京区 代表取締役乗口雅充 以下、SST)は、本日より、「官公庁」「自治体(地方公共団体)」「教育機関」などが運営するWebサイトの掲示板などへの不正書き込み対策を支援するため、CSRF脆弱性の有無を無償で診断するとともに、脆弱性が発見された場合、同社のWAFサービス「Scutum(スキュータム)」の基本料金(初期費用・月額費用)および、従来有償で提供していたオプション機能「CSRF対策カスタマイズオプション」を、2013年3月末まで無償にて提供いたします。

2012年10月に発生した、横浜市ホームページへの書き込みを巡る誤認逮捕報道をきっかけに、CSRF(クロスサイトリクエストフォージェリ:「リクエスト強要」)の脆弱性への関心が高まっています。CSRF脆弱性とは、SQLインジェクションやクロスサイトスクリプティングと同様、Webアプリケーション脆弱性の一種です。この脆弱性を悪用すると、掲示板やSNSなどへ、第三者になりすましての書き込みなどが可能になります。



●CSRF脆弱性について

参考URL
・Scutumサイト:サイト運用者様向けのCSRF解説ページ
リンク
・「WAF Tech Blog」:CSRF対策を低コストかつ手軽に実施する方法 
リンク


●WAF(Web Application Firewall)について

Webサイト上のアプリケーションへの攻撃を防ぐセキュリティサービスで、Scutumは国内SaaS型WAF製品市場において2010年度、2011年度のシェア1位を獲得しています※。
※ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』
参考URL
・Scutumサイト:WAF(Webアプリケーションファイアウォール)とは
 リンク

横浜市ホームページの事件では、この脆弱性への対策が行われていなかったため、真犯人が作成した攻撃用ページにアクセスしたユーザーが、あたかも問題となる書き込みを行ったかのように偽装されてしまったと報道されています。

SSTでは、以前からCSRF脆弱性の対策や啓発を行ってきましたが、「対策をしたくともできない」「対策が必要なのかどうかわからない」「予算的な制約がある」といった声に応え、CSRF脆弱性への正しい理解と対策を普及するべく、公共性の高い「官公庁」「自治体(地方公共団体)」「教育機関」などが運営し、CSRF脆弱性の存在する可能性があるサービス(例:掲示板、SNSなど)を設置しているWebサイト向けに、無償で診断を行います。

また、CSRF脆弱性が発見された場合には、WAFサービス「Scutum」を無償でカスタマイズ※した上で、2013年3月末まで基本料金(初期費用・月額費用)および、オプション機能「CSRF対策カスタマイズオプション」を無償で提供いたします(申込順に先着100サイト限定となります)。

従来、「CSRF対策カスタマイズオプション」を追加する際には、サイトの特性に合わせたカスタマイズが必要なため、お客さまからのリクエストに個別に対応する形で、有償で提供していましたが、今回はこちらも無償で実施いたします。

※「CSRF対策カスタマイズオプション」以外の、有償となるオプション提供をご希望の場合は、オプション分の追加費用が発生します。

SSTは、Webサイトでビジネスを行う企業・団体に対し、SaaS型WAFサービス「Scutum」の機能を提供することを通じて、Webサイトのセキュリティとパフォーマンス向上に寄与するとともに、Webアプリケーションセキュリティの必要性を啓発して参ります。



<提供内容とその対象>
・お問い合わせいただいたWebサイトの掲示板などについて、SSTがCSRF脆弱性の有無を無償でチェックいたします。
・CSRF脆弱性が存在した場合、「Scutum」を無償カスタマイズした上で2013年3月まで提供いたします (初期費、月額運用費とも無償)。

備考点
・有償となるオプション提供をご希望の場合は、オプション分の追加費用が発生します。
・先着100サイトに達するまで提供。
・Webサイトのトラフィックがピーク時に10Mbps程度を超える場合は、提供できない場合もあります。
・お客さまのWebサイトの作りにより、CSRF攻撃を正常に防げない場合がございます。
・無償提供の対象となるのは「官公庁」「自治体(地方公共団体)」「教育機関」が運営するWebサイトとなります。また「公益法人(公益社団法人および公益財団法人)」も対象になる場合がありますので、ご相談ください。

<提供期間>
本日より2013年3月末まで。

<お問い合わせ・お申込URL>
リンク

【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 : 株式会社セキュアスカイ・テクノロジー
本社所在地 : 東京都文京区湯島2-4-3 ソフィアお茶の水3F
設立 : 2006年3月
代表者 : 代表取締役 乗口 雅充
事業内容 : Webアプリケーションのセキュリティ診断、コンサルティング、教育
URL : リンク


【問い合わせ先】
株式会社セキュアスカイ・テクノロジー
担当 : 大木 元
E-mail: scutum-info@securesky-tech.com
TEL :03-6801-8031 FAX:03-6801-8032

SaaS型WAFサービス「Scutum(スキュータム)」
サービス提供:株式会社セキュアスカイ・テクノロジー
共同開発(技術提供):株式会社ビットフォレスト

プレスリリース提供:PRTIMES リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。