EGセキュアソリューションズは2023年5月10日、Web脆弱性診断サービス「ウェブアプリケーション脆弱性診断」を刷新し、AI自動診断ツールを加えた新プランを提供開始した。従来は手動診断によるフル機能プランに限って提供してきたが、診断対象を減らした下位版として、AI自動診断ツールを適用したプランを追加した。診断可能な項目は減るが、より安価かつ短納期で診断結果が得られる。
EGセキュアソリューションズの「ウェブアプリケーション脆弱性診断」は、ユーザーが運用しているWebアプリケーションに脆弱性があるかどうかを診断するスポット型のサービスである。リモートからユーザーのWebシステムにアクセスし、手動またはツールを用いて診断する。診断結果は報告書にまとめて提出する。報告会も実施する。報告書では、事業への影響度を中心にまとめたサマリーや、脆弱性の種別ごとに危険度、再現方法、対策方法などをまとめた詳細レポートを提供する。
図1:Web脆弱性診断サービス「ウェブアプリケーション脆弱性診断」のプラン構成。エンジニアによる手動診断とAI自動診断ツールを組み合わせた3つのプラン構成により、広い診断需要に応えられるようにした(出典:EGセキュアソリューションズ)拡大画像表示
今回、より広いニーズに適用できるようにサービスを刷新し、3つのプラン構成にした(図1)。従来は手動診断型のプランしかなかったが、AI自動診断ツールを適用したプランを追加した。手動診断と比べると診断項目は減ってしまい、きめ細かな診断はできなくなるが、AI自動診断ツールには、より安価かつ短納期で診断結果が得られるというメリットがある。
プランは、(1)「スタンダード」(標準プラン)、(2)「プレミアム」(上位プラン)、(3)「エクスプレス」(下位プラン)の3つを用意した。
(1)スタンダードプランは、AI診断ツールとエンジニアによる手動診断を併用することで、品質とスピードを両立させたプランである。事前のヒアリングやサイト調査により、サイトの特性を踏まえて診断する。「安全なウェブサイトの作り方」(独立行政法人情報処理推進機構セキュリティセンター)や「OWASP TOP10」の項目に沿って網羅的に診断するとしている。
想定するWebサイトとして同社は、個人情報や重要情報を多く扱うサイト、SaaSサービス、新規サービスのローンチ前の診断、API診断、などを挙げている。
(2)プレミアムプランは、エンジニアがフル手動できめ細かく診断するプランである。スタンダードプランの診断内容に加えて、オプションでWebSocketやGraphQLの診断も可能である。設計書やソースコードを預かったうえで、これらを確認しながらの診断も可能である。
想定するWebサイトとして同社は、より高い安全性が求められるサイトや、先進的な技術を用いたアプリケーションの診断、などを挙げている。診断実績として、オンラインストレージサービスなどがあるという。
(3)エクスプレスプランは、AI診断ツールを使ったスキャン診断を実施する。コストと診断期間を抑えつつ、最低限の診断は実施したいといったケースに向く。診断実績として、法人向けのEC(電子商取引)サイトなどがあるという。
