セキュアブレインは7月26日、インフラやアプリケーションに潜むセキュリティホールを専門家による診断で洗い出し、対策方法の提示までを支援する「セキュリティ診断サービス」の販売を開始した。新サービスは「ITインフラ診断」と「Webアプリ診断」の2種類を提供する。なお、価格は検査項目によって異なる。

「セキュリティ診断サービス」のイメージ

ITインフラ診断は、サーバやネットワーク機器のOS、ミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を検査した上で、対策方法を提示し「リモート診断」と「オンサイト診断」のどちらか、もしくは両方を選択。主な診断項目は、ポートスキャン調査、バナー調査、脆弱性スキャナによる脆弱性調査、アカウント調査、専門家による手動調査となる。

Webアプリ診断は、Webアプリケーションに対してSQLインジェクションやクロスサイト・スクリプティング(XSS)などの脆弱性を検査し、対策方法を提示。テキストボックスやラジオボタン、Hiddenパラメータなどの入力パラメータ値を検査用の不正値(シグネチャ)に書き換えてリクエストを送付する擬似攻撃を行い、そのレスポンスの内容から脆弱性の有無を判断する。

主な診断項目は、SQLインジェクション、クロスサイト・スクリプティング、クロスサイトリクエストフォージェリ、OSコマンドインジェクション、セッション管理の不備、同社が提供するSaaS型Web改ざん検知サービス「GRED Web改ざんチェック Cloud」によるWeb改ざんの有無の検査となる。