|
株式会社NSTラボ(本社:福島県会津若松市、代表:久田雅之)は2月25日、独自開発のWebアプリケーション脆弱性診断サービス(以下診断サービス)の課金ユーザー向けにセキュリティ関連情報の無料提供を始めた。
診断サービスは今年2月に開始したばかりのASPサービスで、2007年9月よりクローズドβサービスを実施していた。診断サービスでは、対象となるWebアプリケーションに対してインターネット経由にて同社プロキシサーバで巡回し、その巡回情報をもとに診断パターンの生成や脆弱性診断をおこなっている。現在対応している脆弱性はクロスサイトスクリプティング(以下XXS、ソフトウェアセキュリティホールの1つ)約800パターン。利用料金は1週間で3,150円(税込)。今後6カ月の月間利用目標数は500ユーザー。
今回、無料提供されるセキュリティ関連情報は、診断サービスの課金ユーザーを対象としており、危険度、CVEID、BugtraqID、ベンダ情報、概要、解説、攻撃方法(exploit)、情報参照元、回避策、解決策などの内容を配信する。また、各ベンダーから英語で配信された内容は、和文に翻訳したのち配信をおこなう。配信日は月、水、金の週3回(配信数20〜30程度)を予定している。
セキュリティ情報配信を始めた経緯について同社代表久田氏は、「弊社の診断ASPサービスはサービスの特性上、単発での利用が多いため、短期的なリピート率も低く、長期的なリピート率は現時点ではわからない。会員の方に、継続的に利用して頂くための付加サービスの必要性を感じたのは、昨年11月からのベータテスト実施後で、ユーザーにはサイト管理者というケースが多く、今回のような情報配信はお役に立てる機会も多いと考えている」と説明。
また、そのメリットについては、「XSSの特徴として、そのパターン数の多さがあげられ、日々新しいパターンが発見されている。我々にとっては、この新しいパターンを如何にシステムに取り入れるか、どうやって情報収集を行うかという問題がある。ML等で情報は流れているから、これを収集解析するのは必須事項であり、単に弊社システムへのパターン追加という目的で終わらせずに、XSSに限らず多くの情報を配信できるサービスの確立に至った。つまり、情報配信をしながら、弊社自身がセキュリティ情報のナレッジベースを構築していることになり、長期的に見れば、ナレッジベースそのものに商品価値が出るとも言える」(同氏)とコメント。
将来的には関連する情報のみの配信といったフィルタリングや、過去情報の検索機能も加えて提供する予定。また、開発者向けだけでなく、「全く知識のないユーザーでも容易に利用できるためのアプローチも。片方では専門性を強め、もう一方では誰でも使える仕組みといった相反する開発を行う」(同氏)とした。
脆弱性診断サービス
http://www.nstlab.com/service.html
株式会社NSTラボ
http://www.nstlab.com/
|
