三井物産セキュアディレクション(MBSD)は2007年3月9日,Webアプリケーションのぜい弱性を検査する「WebSec ASPサービス」を発表した。ASP(アプリケーション・サービス事業者)として,4月16日に提供を開始する。対象はソフトハウスやインテグレータなどのWeb開発者。Webアプリのぜい弱性を検査しながら開発するケースを想定している。
WebSec ASPは契約者が,Webブラウザを使って,MBSDが管理するぜい弱性検査システムを遠隔地から利用し,自社または顧客企業のWebアプリケーションのぜい弱性を検査するというもの(写真)。検査の結果もWebブラウザで確認できる。
検査可能な内容は設定ミスによる情報漏えい,SQLインジェクション,クロスサイト・スクリプティング,バッファー・オーバーフロー,ディレクトリ・トラバーサル,User-Agent 操作,リファラー操作,Cookie の操作,httpsの使用,OSコマンド・インジェクション,メタキャラクタ・インジェクションなど。
検査作業は二つのステップで行う。まず,Webブラウザと検査対象のWebサーバー間の通信ログを記録。次に,このログをMBSDのシステムにWebブラウザを使ってアップロードし,検査対象のWebサーバーを検査する。
通信ログを収集するのは,検査システムに対象のWebアプリが存在するURLとともに,どのようなパラメータがアプリにあるかを調べるためだ。ログはユーザーの環境にダウンロードしたJavaプログラムが記録する。プログラムを起動したうえで,検査ターゲットとなるWebアプリケーションにログオンし,検査したいページを巡回すると,ログがファイルとしてローカルに作成される。
検査システムは「MBSDがこれまでのWebアプリケーション検査で集めてきたノウハウをツール化したもの。自社の技術者が現場で使っているものとほぼ同じ」(事業企画部の新井一人部長)。Webアプリケーションのぜい弱性を調べるスキャナ・ツールは,一般に誤検知が多いとされているが,「これまでの経験の蓄積により,ほとんどゼロに近づけることができたため,ASPとして提供することにした」(新井部長)という。
料金体系は,1年間検査可能な年間契約と数カ月だけ利用可能なスポット契約がある。年間契約の場合,初期費用15万円,使用料360万円。スポット契約の場合は,初期費用15万円,月額80万円に加えて情報管理費用として年間15万円が必要になる。情報管理費用は将来再検査が必要となった場合に,過去のデータを蓄積・閲覧のためのもの。
