三和コムテック(柿澤晋一郎社長)は、ウェブアプリケーションのぜい弱性を継続的に監視し、マルウェアの侵入やサイトの改ざんを防ぐ診断サービス「SCT SECURE SWAT(SWAT)」の提供を開始した。スウェーデンのセキュリティサービス企業・Outpost24が開発した手法を用い、ツールによる自動スキャンと、人の手による詳細な診断を組み合わせて提供する。

 サイバー攻撃の高度化により、最近では新たなぜい弱性や攻撃手法が発見されてから、実際の侵入に利用されるまでの時間が短くなっている。ウェブサイトのぜい弱性診断サービスは各社が提供しているが、数か月に1回といった頻度の診断では、診断と診断の間の安全性が保てなくなりつつある。自動診断ツールを利用して、ぜい弱性をスキャンするサービスもあるが、高頻度で診断を実施できる一方、アクセス権やアプリケーションの構成によっては診断ツールが入り込めない部分があるため、常に一定のリスクが残るという弱点があった。

 SWATは、ツールで自動的に診断を行うとともに、ツールの目が行き届かない部分については、手動でのぜい弱性診断を実施する。その結果をもとにして、順次ツールにカスタマイズを加えていくことで、自動診断可能な範囲を増やしていく。このような手法を取ることで、コストを抑えながら高頻度かつ精密なぜい弱性診断が可能になるとしている。入力フォームのフィールド数が増減するといったアプリケーションの変更も、常に監視しており、ユーザーからの申告がなくても変更箇所は自動的に診断の対象に加わる。

 三和コムテックでウェブセキュリティ事業を統括する齋藤晴美・執行役員技術部長は、「これまでのぜい弱性診断には“監視”という考え方がなかった」と話し、SWATはユーザーに代わってぜい弱性を絶えずモニタリングする点が、単発の診断サービスから大きく進化した部分だと説明する。また、同社の岡山大・ソリューション営業部第二グループ副部長は「従来のツール診断はその結果を精査する必要があったが、SWATの場合は専門家が検証したうえで、ユーザー側での対応が必要なものだけを通知する」と述べ、ぜい弱性の誤検知がなく、ユーザーに余計な負荷をかけないことも、自動診断ツールだけでは実現できないメリットとしてアピールする。

 同社では、ウェブサイトを保有するユーザー企業のみならず、アプリケーションの開発・運用を行うSIer向けにもSWATを提供。SIerが扱うセキュリティ製品と、ぜい弱性の監視を組み合わせた提案も可能となっている。(日高彰)

齋藤晴美・執行役員技術部長(左)と岡山大・ソリューション営業部第二グループ副部長