シマンテックは9月15日、中小企業向けに「シマンテック統合脆弱性評価サービス」(SIVA)の提供を開始した。代理店経由で販売し、価格は70万円から。
SIVAは、基本ソフト(OS)とミドルウェアを対象にしたネットワークの脆弱性と、CGIなどの動的なウェブコンテンツを対象にしたウェブアプリケーションの脆弱性を同時に調べる。シマンテックがインターネットを経由してリモートで評価する。
ネットワーク脆弱性評価ではグローバルIPアドレスを5個までを、ウェブアプリ評価では入力画面数10以内までをそれぞれ対象にしている。シマンテックでは。グローバルIPアドレスと入力画面数について、企業から要望があれば、別途対応するとしている。
検査開始後6営業日以内に報告書が提出され、報告書が提出されてから1ヶ月間は、企業はシマンテックに報告書内容について問い合わせすることが可能となっている。報告書の具体的な内容は、発見された脆弱性の重要度ランク別の件数一覧表と、各脆弱性について上位10項目までの詳細をまとめる。
コンサルティングサービス部シニアマネージャの松田義巳氏は「脆弱性は年々増加しているだけでなく、脆弱性をついた攻撃が高度化している」と脆弱性がもたらす問題の大きさを説明している。また「これまではサーバのOSとミドルウェアの脆弱性に対する攻撃が多かったが、最近ではウェブアプリの脆弱性をついた攻撃が増加」(松田氏)しており、「ウェブアプリへの攻撃が情報漏洩などのセキュリティ事故をもたらしている」(松田氏)と説明した。
松田氏は、「中小企業はセキュリティ知識が不足していたり、価格の点でセキュリティ対策を講じることに躊躇している」ことが、セキュリティ対策が進まなかったと見ている。SIVAは、セキュリティ対策の第一歩として「自社サイトの脆弱性を理解してもらい、何をすべきかを分かってもらう」(松田氏)ためとしている。
SIVAを販売する代理店について、現在2〜3社と交渉しているが、2006年3月までに10社にしたいとしている。また販売形態は代理店経由を基本にしているが、企業の希望があれば、シマンテックからの直接販売もできるとしている。
