三菱総研DCSが短期・低コストでソースコードのセキュリティ診断サービスを開始
09 9/21
三菱総研DCSは、Webアプリケーションのぜい弱性を短期間・低コストで診断する「DCSソースコード診断サービス」を開始した。メールでソースコードを受け取ってツールで診断し、結果を返信することで、同社調べで国内の最短・最安価格となる3日間、29万4千円でサービスを実施する。対応言語はJava、ドットネット、PHPの3言語で、カード業界のセキュリティ標準である「PCI DSS」要件の6・5および6・6に準拠し、クロスサイトスクリプティングやSQLインジェクションに対する安全性をもったセキュリティコーディングが実現する。
既存のソースコード診断サービスは、顧客サイトで検査ソフトをインストールして検査を行い、診断結果をレポートにまとめるというもので、コストや分析、レポートの作成に時間を要する。
同社も昨年からオンサイト形式の診断サービスを提供していたが、顧客から「スキャンした結果だけでいいから早く欲しい」という声が多くあったため、サービス利用者がコードをメールでDCSに送り、同社はツールでコードをスキャンして返却、それを見て利用者が問題点を改善するという形の簡易的なサービスを開発した。
高いセキュリティレベルのソースコード診断を3日間で実施する「クイック・サービス」は、「ソースコード診断サービスとしては国内で最も安い価格に設定」(三菱総研DCS事業推進企画部小林英雄氏)している。
これにより、ソフト開発会社のプロジェクトマネージャーが、顧客に納品する直前に自らの決済権限の範囲でセキュリティ検査を委託しやすくなるとし、年間100件以上の受託をねらう。
このほか、クイック・サービスの内容に目視検査と詳細な分析報告書が追加されて6営業日、60万9千円で診断サービスを提供する「スタンダード・サービス」と、オンサイトの「アドバンスド・サービス」を126万円で提供する。オンサイトでは、Javaをはじめ、C、C++、COBOLなど13種類の幅広い言語に対応する。
ソースコード診断ツールには、米フォーティファイ・ソフトウェア社の「フォーティファイSCA」を利用している。DCSは、東京三菱UFJ銀行のシステム開発で同ツールを利用して以来のユーザーで、2年前からは代理店契約をしてツール販売も行っている。
関連サイト