京セラコミュニケーションシステムは2月26日、インターネットに公開されているWebサイトに対し、主要な脆弱性を検査する診断サービス「Web健康診断」の提供を開始した。基本診断料は18万円(税込)。
同社は、他社が提供しているWebアプリケーションの脆弱性診断は、Webサイト全体に対して精緻で網羅性の高い「精密検査」とし、「高額で費用対効果が見えにくい」「自動診断ツールによって診断を行うため診断対象に負荷がかかる」「診断結果が専門的で難しく、対策が行いづらい」と分析している。
こうした脆弱性診断の問題点を解消するのが、「Web健康診断」だという。同サービスは、「健康診断」のコンセプトに基づき、専門診断員がWebサイト全体から重要なページを抽出し、それらのページに対しリスクの高い主要な項目について、Webアプリケーション脆弱性の検査を行うと同時に、Webサーバのプラットフォームに対しても脆弱性を検査するというもの。
診断項目は、同社がこれまで蓄積してきたWebアプリケーション脆弱性診断の実績・ノウハウから独自に体系化したもの。独自開発のカスタムツールにより、従来、手動でなければ対応が困難であった診断の自動化が実現されている。具体的な診断項目は以下のとおりだ。
- SQLインジェクション
- クロスサイト・スクリプティング
- クロスサイト・リクエスト・フォージェリ
- OSコマンドインジェクション
- ディレクトリリスティング
- メールヘッダインジェクション
- パストラバーサル
- 意図しないリダイレクト
- HTTPヘッダインジェクション
- パスワード(アカウントロックなど)
- セッション管理の不備
- アクセス制御の不備・欠落
診断スケジュールは、「申し込みから開始まで」に約1週間、「健康診断」に半日程度、「報告書提出」は診断終了後から1週間以内となっている。
