ASP型の新たなサービス
サイトの脆弱性を突いた不正アクセスによる情報漏洩事故の話は、最近あまりニュースにならない。だからといって世の中のサイトの多くで情報漏洩対策が「完璧」になった、という訳ではないだろう。
個人情報の漏洩などが怖く、サイトでのクレジットカード番号登録するのをやめたり、インターネットバンキングなどを一切利用しないというユーザーもいるらしい。自分はたいした資産ももっていなかったり、クレジットカードなどはある程度の被害は補償されるに違いない
と安易に考えているので、いまのところどちらかといえば積極的にネットの仕組みを利用しているほうかもしれない。
実際に外向けのWebのシステムを開発している現場で、どれくらい詳細にサイトの脆弱性テストをしているかはわからない。もちろん、ネットバンクのサイトなどはかなり詳細にテストしているはずだが、不特定多数の人が利用しないといった理由から細かいテストをおこなっていないシステムもあるのではないだろうか。また、テストが必要だと現場が考えていても、そのための費用がない、スキルが伴わない、時間が確保できないなんていう開発現場もあるかもしれない。
三井物産セキュアディレクションが、ASP型でWebアプリケーションの脆弱性を検査する「WebSec ASPサービス」を発表した。従来ならば、専門のコンサルタントなりが、実際に手作業でサイトにアクセスし脆弱性をテストする高価なサービスが、誰でも簡単に専門家スキルと同等のテストが実施できるというものらしい。
これをクライアントツールではなく、ASP型のサービスで提供しているのもWeb2.0っぽくて面白い。ASP型ならば、つねに最新の脆弱性テストを実現できる。また、サイトが完成してみないと、脆弱性テストにいくらかかるかわからないというのでは予算化することが難しい。今回のサービスであれば固定費用でいくらかあらかじめ分かっているので、利用を想定すれば開発費用にあらかじめこのテスト工程を組み込んで予算化することも容易だろう。
ある時点でこのテストを行ったからといって、完璧なサイトになるわけではない。いたちごっこで新たな脆弱性はつねに生まれるはずなので、定期的な脆弱性チェックはサイトがいったん完成したあとも必要だ。開発会社のメンテナンス契約の項目に「継続的な脆弱性への対策」などというものが謳われることになるならば、こういったサービスでも利用しないと自社で高度なセキュリティ・コンサルタントを確保しなければならない。その費用を考えたら、年間のこのASPサービスの利用料はかなりお得なのかもしれない。