ZETA Security SiteScan：CVSS/CVE準拠のシステム脆弱性診断サービス

　エヌシーアイの「ZETA Security SiteScan」は、システムの脆弱性を自動や手動で洗い出すセキュリティ診断サービスである。ネットワークやOS、ミドルウェア、ウェブアプリケーションを、統一された脆弱性診断基準で検査できる。悪意のある攻撃や情報漏えい事故などのリスクを未然に回避する。

　サービスメニューとして、主にOSとネットワーク層を対象とする「SiteSan 2.0」、ウェブアプリケーション層を対象とする「WebSiteScan」、SiteSan 2.0の診断項目とWebSiteScanの診断項目に加えてウェブアプリケーション診断とネットワーク診断を利用できる「WebSiteScan Pro」を用意。統合コントロールパネルにより、すべてのサービスを一元的に操作、設定できる。

　SiteScan 2.0は、セキュリティ業界の標準評価基準である「CVSS（Common Vulnerability Scoring System）」と「CVE（Common Vulnerabilities and Exposures）」に準拠した検査エンジンにより、システムのセキュリティ対策のレベルを診断する。約2万件の診断項目を保有し、検査対象ごとにセキュリティリスクを検証。発見した脆弱性を「緊急」「高」「中」「低」で分類した上で、その影響を記載したレポートを提供する。

　WebSiteScanは、ウェブサイトをリモートで診断するSaaSである。ウェブからログイン後、診断からレポート結果まで最短5分で完了するとしている。システムへの影響を最小限に抑えるため、サーバやネットワークの負荷低減機能を搭載し、ログイン後などのセキュリティが重視されるページも診断できる。クレジットカード情報を扱う業者向けのセキュリティ基準「PCI DSS」にも対応する。

　WebSiteScan Proは、ツールの自動診断とあわせて、専門エンジニアの手動診断で、自動診断ではカバーしきれないセッション管理系の脆弱性も診断する。検査対象とするウェブアプリケーションの情報を収集し、検査時に発生しうるリスクを分析、把握した上で、実際に起こるアクセスに近い状態で検査する。ショッピングサイトなど個人情報を大量に扱うウェブサイトの診断に向く。

　いずれのサービスも、1回だけ診断するスポットプランと、定期的な診断が可能になる月額プランを提供（WebSiteScan Proは年額）。WebSiteScanの月額プランでは、1URLにつき月額3万円で診断回数が無制限になる。

SiteScanシリーズ各製品の適用範囲のイメージ（エヌシーアイ提供）