大阪証券取引所のシステムを担うなど,関西地区を中心に高い評価を得ている独立系ベンダーの神戸デジタル・ラボ。同社が提供するWebサイトおよびWebアプリケーションのセキュリティ診断サービスが「Proactive Defense」である。その強みは,情報セキュリティ分野で高い信頼を得ているGIAC(Global Information Assurance Certification)の資格をもつスタッフで組織されたプロのセキュリティチームが支える高い品質だ。
一般的に,ツールを用いた自動診断だけでは,すべての脆弱性を洗い出せない。神戸デジタル・ラボのサービスでは,自動診断できない項目をセキュリティチームがツールと手作業を駆使して,実際にハッカーが攻撃を行うのと同じ視点・手法による「擬似攻撃診断」で調査を行う。使用するツールは,より診断精度が向上するようにカスタマイズされている。診断項目は,実際のリスクにつながりやすい項目が優先的に選ばれ,項目全体のバランスにも配慮されている。
さらに「ソースコード診断」によって,対象サイトのプログラムのソースコードを,セキュリティチームが手作業でチェックする。これにより,顕在化していなかった脆弱性を含め,問題点を浮き彫りにする。そして,その結果を擬似攻撃診断に反映することで,より精度の高い診断を実現している。
診断中に深刻な脆弱性が発見された場合は,報告書の完成を待たずに速報の形で通知する。診断後は,報告会の形でレポートを提供する。対策の実装は,要望に応じて別途行う。対策を実装した後の再診断も,オプションで用意した。さらに,定期的な診断の実施,攻撃ログの収集,WAF(Web Application Firewall)による攻撃の遮断など,トータルなセキュリティ保守サービスも提供する。
保証付きのサービスである点も大きな特長だ。診断したサイトに対して外部からの攻撃によるサイトの改ざんや情報漏えいなどの事件・事故が発生した場合は,それまでの診断費用を全額返金する。同社の自信の表れといえるだろう。
一連の診断は経済産業省のガイドラインに準拠しており,セキュリティ品質を客観的に証明できる。さらに,ガイドラインの活用や診断工程の標準化,社内エンジニアよる対応,長年のノウハウの蓄積により,競争力のある価格を実現。平均的なサイトで2週間,規模の大きなサイトで1カ月という診断スピードもセールスポイントである。
Proactive Defense 診断ご報告書サンプル
Proactive Defenseの診断報告書のサンプル。「認証」や「承認」などのカテゴリー別の診断項目について,脆弱性が評価値とグラフによって明示され,ウィークポイントが一目で把握できる。そして,カテゴリーごとに問題点の詳細,および解決法を具体的に提示する。同サービスを利用した際に得られる診断結果の具体的なイメージがつかめる。
小冊子 ニッポンの始末書と「使える」セキュリティ
日本企業のセキュリティの現状を伝える同社の小冊子。Webサイトにおいて脆弱性が発見される頻度,日本のセキュリティ事情などを紹介している。それらを踏まえ,適切な対策を行うためのポイントを提案する。親しみやすい文体と図・グラフで,セキュリティ強化の要点を分かりやすく学べる。
経済産業省ガイドライン活用法
Proactive Defenseが準拠している経済産業省のガイドラインの活用法をまとめた資料。同ガイドラインの概要や利用メリットなどを紹介した後,使い方として,セキュリティチェックシートの作成方法について,セキュリティレベルの決定やシート構成などの具体例を交えつつ解説している。重要事項の説明書についても,実例とともに要旨を簡潔にまとめている。
株式会社 神戸デジタル・ラボ
本社:〒650-0033 神戸市中央区江戸町93番 栄光ビル5F
東京オフィス:〒107-0052 東京都港区赤坂4-2-3 エムアイビル5F
TEL: 0120-996-535
E-mail: info@proactivedefense.jp
