[新製品・サービス]

2023年5月11日(木)日川 佳三（IT Leaders編集部）

リスト

　EGセキュアソリューションズの「ウェブアプリケーション脆弱性診断」は、ユーザーが運用しているWebアプリケーションに脆弱性があるかどうかを診断するスポット型のサービスである。リモートからユーザーのWebシステムにアクセスし、手動またはツールを用いて診断する。診断結果は報告書にまとめて提出する。報告会も実施する。報告書では、事業への影響度を中心にまとめたサマリーや、脆弱性の種別ごとに危険度、再現方法、対策方法などをまとめた詳細レポートを提供する。

図1：Web脆弱性診断サービス「ウェブアプリケーション脆弱性診断」のプラン構成。エンジニアによる手動診断とAI自動診断ツールを組み合わせた3つのプラン構成により、広い診断需要に応えられるようにした（出典：EGセキュアソリューションズ）
拡大画像表示

　今回、より広いニーズに適用できるようにサービスを刷新し、3つのプラン構成にした（図1）。従来は手動診断型のプランしかなかったが、AI自動診断ツールを適用したプランを追加した。手動診断と比べると診断項目は減ってしまい、きめ細かな診断はできなくなるが、AI自動診断ツールには、より安価かつ短納期で診断結果が得られるというメリットがある。

　プランは、(1)「スタンダード」（標準プラン）、(2)「プレミアム」（上位プラン）、(3)「エクスプレス」（下位プラン）の3つを用意した。

　(1)スタンダードプランは、AI診断ツールとエンジニアによる手動診断を併用することで、品質とスピードを両立させたプランである。事前のヒアリングやサイト調査により、サイトの特性を踏まえて診断する。「安全なウェブサイトの作り方」（独立行政法人情報処理推進機構セキュリティセンター）や「OWASP TOP10」の項目に沿って網羅的に診断するとしている。

　想定するWebサイトとして同社は、個人情報や重要情報を多く扱うサイト、SaaSサービス、新規サービスのローンチ前の診断、API診断、などを挙げている。

　(2)プレミアムプランは、エンジニアがフル手動できめ細かく診断するプランである。スタンダードプランの診断内容に加えて、オプションでWebSocketやGraphQLの診断も可能である。設計書やソースコードを預かったうえで、これらを確認しながらの診断も可能である。

　想定するWebサイトとして同社は、より高い安全性が求められるサイトや、先進的な技術を用いたアプリケーションの診断、などを挙げている。診断実績として、オンラインストレージサービスなどがあるという。

　(3)エクスプレスプランは、AI診断ツールを使ったスキャン診断を実施する。コストと診断期間を抑えつつ、最低限の診断は実施したいといったケースに向く。診断実績として、法人向けのEC（電子商取引）サイトなどがあるという。