「外部からの攻撃」に対して、自社のシステムはどれほど安全なのか。あるいは、どれほど無防備なのか。これをチェックしてくれるのが専門業者が提供する「セキュリティ診断サービス」だ。
SQLインジェクションによるデータベース改ざん、クロスサイトスクリプティングによる情報漏洩、セッション管理の不備によるなりすまし─。企業のWebサイトが直面する脅威は増え続けている。もちろん多くの企業はすでに対策を打っているが、その堅牢度のレベルは客観的に判断しにくい。そこで検討したいのが、最新のセキュリティ動向に通じた外部の専門家の助けを借りることだ。
ベンダー各社は、Webアプリケーションにおける脆弱性の有無を検査・分析し、緊急度や対策法をアドバイスするサービスを展開している。その多くは、ツールを使ったソースコード解析と、技術者がWebサイトに疑似攻撃する手動診断を併用している。ツール診断に絞ったサービスは、大量のWebアプリケーションを短期間にチェックしたい企業に向くと言える。
これらサービスの価格は数十万からと、決して安くはない。しかも、Webサイトの安全対策は費用対効果が見えにくいため、投資しづらいと感じている企業は少なくない。そうした企業に向けて、診断項目や対象を限定することにより価格を抑えたサービスも出てきている(表6-2)。SaaS型で診断サービスを提供するベンダーも登場した。これらのサービスを利用して自社のWebサイトの現状をある程度つかんでから、本格的な診断サービスを検討するといった使い方をするのもよいだろう。
会員登録(無料)が必要です