[新製品・サービス]

2026年1月6日(火)日川 佳三（IT Leaders編集部）

リスト

　セキュアスカイ・テクノロジー（SST）の「Webアプリケーション診断サービス」は、Webアプリケーションが抱えるセキュリティ上の問題点を攻撃者の視点で診断し、潜在的な脆弱性を検出するサービスである。ユーザーに対策の実施を促すことで、セキュリティ事故の発生を防ぐ（図1）。

図1：Webアプリケーション診断サービスの概要（出典：セキュアスカイ・テクノロジー）

　オンプレミス環境などにある診断対象サーバーを、SSTがインターネットを介してリモートで診断する。診断ツールによる自動診断だけでなく、権限周りを含む認証/承認系の脆弱性など、ツールによる検出が難しい脆弱性についてはSSTのエンジニアが手動で診断する（表1）。要望に応じてオンサイト診断を有料で請け負う。

　診断時に検出した脆弱性について、診断速報を提出する。診断終了後には診断報告書を作成し提出する。また、オプションで診断報告会を実施する。これらを基にして、ユーザー側でWebアプリケーションを改修する。改修実施後は、危険度が一定以上の脆弱性を対象に無料（1案件1回のみ）で再診断を実施する。

　今回、GraphQL APIとWebSocketを診断するオプションを追加した。(1)「GraphQLオプションサービス」により、GraphQLに特化した診断項目（ミドルウェアの設定不備など）が診断可能になる。(2)「WebSocketオプションサービス」により、これまで標準では対応していなかったWebSocket通信が診断可能になる。

　加えて、Webアプリケーション診断サービスにおいて診断中に検出した脆弱性に対する速報の提出基準を変更し、潜在的なリスクをより早期に把握できるようにした。速報提出のタイミングは、従来の「診断完了日の翌営業日」から「診断中に脆弱性を検出次第、随時提出」に早めた。速報対象については、従来の「危険度High」から「Medium/High」に広げた。