NTT西日本は、昨今多発している企業や自治体へのWebサイトを狙った不正アクセスによる情報漏えいなどを未然に防止するため、Webサイト上で使用されるWebアプリケーションを利用した情報ネットワークシステムに関する安全性を診断し、対策をサポートする「Webアプリケーションセキュリティチェックサービス」（以下、本サービス）を、平成17年11月15日（火）から提供開始しました。

背景

昨今のIT化の急速な進展に伴い、企業や自治体においては、情報ネットワークシステムのWebシステム化が一般的となり、ネットショッピングなどの電子商取引をはじめ、ホームページ上での各種相談や行政手続の申請など、Webサイトを活用した様々なビジネスやサービスが展開されています。

その一方で、Webサイトへの攻撃により、Webサイトからの情報漏えい、Webサイトの改ざん、Webサーバの停止といった事件・事故が多発し、その攻撃手法も高度化しており、特に、Webサイト上で使用するWebアプリケーション※1の設計不備などを狙った攻撃に対しては、従来のファイアウォールの導入やセキュリティパッチの適用といったセキュリティ対策では不十分となってきています。

このような状況下では、Webサイトを所有する企業や自治体において、Webサイト上で使用されるWebアプリケーションの安全性の確立が急務となっています。

そこでNTT西日本では、従来からセキュリティソリューションの一環として提供している「セキュリティ診断サービス（図１参照）」の新たなラインナップとして、企業や自治体のWebサイト上で使用されるWebアプリケーションの安全性を診断し、対処方法をサポートする本サービスを提供することとしました。

※1　Webサーバ上のプログラムで、Webブラウザからのリクエストによって動的なコンテンツを提供するものです。Webアプリケーションの利用シーンとして、Webサイト上のアンケート入力フォームや問合せフォーム、商品注文フォームなどがあります。

サービス概要

本サービスは、情報ネットワークシステムに関するコンサルティングサービスです。経験豊富なセキュリティ専門スタッフが、インターネット経由でお客様のWebサイトで使用されるWebアプリケーションに対して、情報漏えいなどに繋がる問題点（不正なスクリプトの挿入、データベースの不正操作〔SQLインジェクション※2〕など）の有無を診断します。

また、オンサイト報告会を実施し、診断によって発見された問題点とその対処方法について、きめ細かなサポートを行います（図２参照）。

※2　WebブラウザからWebサーバへのリクエストの際に、SQL文（データベースを操作する言語）を含む特殊な入力データを挿入することで、Webサーバと連携しているデータベースを不正に操作する攻撃手法。

サービスメニュー

本サービスは、株式会社ラックと住友商事株式会社の協力を得て、以下３つのタイプを提供します。

（１）ベーシック診断タイプ

情報漏えいの恐れなどのあるアンケート入力フォームや問い合わせフォームなどに利用しているWebアプリケーションに特化して診断を実施。約２週間で事前ヒアリングから診断、報告会実施までを行います。

■参考価格：58万円（税込）

（２）スタンダード診断タイプ

情報漏えいの恐れなどのあるWebアプリケーションをはじめ、商品注文フォームやユーザ認証などベーシック診断タイプよりも広範囲なWebアプリケーションに対して診断を実施します。約３週間で事前ヒアリングから診断、報告会実施までを行います。

■参考価格：98万円（税込）

（３）アドバンスト診断タイプ

お客様の要望をヒアリングした上で、診断対象とするWebアプリケーションを個別に選定し、ベーシック／スタンダード診断タイプよりも詳細な項目で診断を実施します。

■価格：個別見積り

主な診断項目

Webアプリケーションにおいて狙われやすい項目に対し診断を実施します。

• クロスサイトスクリプティング（不正スクリプトの挿入）
• SQLインジェクション（Webアプリケーションと連携したデータベースの不正操作）
• WebブラウザとWebサーバ間のセッション管理
• ユーザ認証方法（認証を回避した不正アクセスやなりすましによるログインなど）
• 機密性の高いファイルやデータの公開の有無

など。