興安計装(本社:愛媛県松山市)は2018年3月26日、Webサーバーやメールサーバーの脆弱性を検査するサービス「Owlookぜい弱性診断サービス」を強化したと発表した。インターネットから接続ができない内部ネットワークを診断できる「プライベートスキャン」のメニューをオプションとして追加し、2018年3月26日に提供を開始した。
興安計装の「Owlookぜい弱性診断サービス」は、情報システムの脆弱性を検査するサービスである。ネットワークを介して各種サーバーにアクセスして脆弱性を診断し、レポートを出力する。脆弱性を診断するソフトとして、エフセキュアの「F-Secure Radar」を用いる。
図1:プライベートスキャンの提供イメージ(出典:興安計装)拡大画像表示
従来の検査対象は、公開Webサーバーやメールサーバーなどの、ユーザーがインターネットに公開しているサーバーだった。クラウド上に用意した脆弱性検査ソフトからインターネットを介してこれらのサーバーにアクセスし、それぞれのサーバーの脆弱性を検査していた。
今回新たに、業務システムのサーバーやファイルサーバーなど、インターネットに接続していない社内サーバーについても検査できるように、新メニューのプライベートスキャンを用意した。脆弱性検査ソフトを導入した検査サーバーを、社内LAN上に配置する形になる。検査結果はクラウドにHTTPSで送信する。
Owlookぜい弱性診断サービスでは、診断対象に応じて、2種類の脆弱性診断サービスを用意している。OSを含めた「システムスキャン(プラットフォーム診断)」と「Webスキャン(Webアプリケーション診断)」である。
図2●Owlookぜい弱性診断サービスの検査対象(出所:興安計装)拡大画像表示
システムスキャンでは、サーバーやネットワーク機器のOSやミドルウェア全般を対象に、パッチ適用の不備、設定不備、安全でないプロトコル、脆弱なパスワードを検出する。特に、OSやソフトウェアの脆弱性については、既知の脆弱性を含むバージョンかどうかを確認する。
Webスキャンでは、ユーザーが開発して運用しているWebアプリケーション部分について、脆弱性を調べる。Webアプリケーションサーバーソフトなどのミドルウェアや、OSに付随するサーバーソフトなどの周辺ソフトウェアは脆弱性検査の対象にはならない。
価格(税別)は、「定期型」(IPアドレス・FQDN×5台で6カ月間)が28万円、「スポット型」(IPアドレス・FQDN×1台で3カ月間のうち5回まで)が6万円、「ワンショット型」(IPアドレス・FQDN×1台で1カ月間のうち2回まで)が3万円。オプションのプライベートスキャンは、監視サーバーをレンタルする場合は月額2万5000円、レンタルしない場合は初期費用(ソフトウェアのインストール費用)として2万5000円が必要。
