無料トライアル診断実施中！問い合わせ殺到中のWebサイト脆弱性診断gSCANについて

Webサイトにおける脆弱性を診断する、gSCAN。ゲイトウェイ・コンピュータ株式会社が提供するこのツールは、インターネット上にWebサイトを公開しているすべての企業にとって、非常に有益なセキュリティツールです。今回はgSCANに焦点を当て、どのような特徴があるのか、どんな風に活用できるのかなどを解説します。

Webサイト脆弱性診断「gSCAN」とは？

gSCANとは、Webサイトの脆弱性を診断するためのセキュリティツールです。非常に低価格でありながら、XSSやSQLinjectionなど、一般的に必要とされる脆弱性検査にしっかり対応しています。最近のWeb攻撃の7割はこの2つが占めているため、gSCANを導入するだけでリスクを約70％削減することが可能です。

検査項目が充実していることも、gSCANのメリットの一つです。例えばWebアプリケーション診断では、セッション管理において「Secure属性の指定が適切か」「HttpOnly属性の指定があるか」などを確認でき、入出力処理において「ユーザーが意図しないデータ登録、更新が実施されるか」「SQL文字列の入力を適切に処理しているかなどを診断します。

ネットワーク診断では、「DNSに関する調査」「メールサーバーに関する調査」「WebサーバーおよびWebアプリケーションサーバーの脆弱性」「バックドアの調査」など、多角的に調査します。

また、現在使われているツールの多くはレポートが英語であるのに対し、gSCANは日本語でのレポートに対応。担当者の英語力に関わらず、誰が見てもわかりやすい形で結果がレポートされます。

低コストで高いセキュリティレベルを保てるgSCAN

gSCANの特筆すべき点は、コストを抑えて高いセキュリティレベルを実現できることです。「1回のみの診断」は15万円、「初回から1年以内に再診断ができる2回診断」は20万円、「1年間の毎日診断」は30万円と、業界最安級の価格設定となっています。

また、オプションとして10万円でオンサイト報告会を受けることが可能です。これはセキュリティエンジニアがお客様先へご訪問し、診断結果のご説明を行うサービスで、首都圏のみ対応としています。オンサイトでは、ヒアリングシートに基づき1時間ほどかけて脆弱性が確認された部分を説明。レポートについての質問も受け付けており、わからないことなど相談ができます。

さらにこれからセキュリティツールを導入したい企業のために無料トライアルを設けており、1URLに対して脆弱性の診断結果をレポート。脆弱性の数と、緊急・重大・高・中・低・情報といった分類がわかります。

ここまで低価格で充実した内容を実現した要因は、診断専門会社と連携したこと、そしてセキュリティエンジニアが手動で検査をする手動脆弱性診断ではなく、自動化を実現して人的コストをカットできたことの2つです。

「セキュリティツールに対して、現段階では高額な予算をかけられない」という多くの中小企業でも導入しやすいよう、このような工夫をこらしてトップレベルの低価格を実現しました。

幅広い業界で導入されるgSCAN

gSCANは幅広い業界で導入されており、ある大学ではオンサイトでのネットワーク診断を行っています。また、エネルギー関連企業では手動診断とgSCANの両方を活用し、より正確性の高い診断を実行しています。さらにある上場企業グループでは毎年、グループ会社それぞれにgSCANを行ってセキュリティチェックを行っており、そのほか毎月gSCANを実施する銀行もあります。

こういったgSCANのユーザーからは、「価格が安く、満足度が高い」「診断終了後1営業日程度でレポートが提出され、スピードが非常に速い」といったコメントが集まっています。一方で、それまで脆弱性診断をしたことがなかった企業からは、「自社サイトに脆弱性が見つかり、診断の必要性を実感した」「大きな脆弱性が見つからなかったので、安心した」といったコメントがあるそうです。

このようにgSCANは多くのユーザーから支持されており、2022年7月現在、導入実績は200件に上ります。その背景には、Webアプリケーションの脆弱性を狙った攻撃が増加していることがあります。特に中小企業では自主的に検査を行うケースは少なく、脆弱性が見つからないまま非常に危険な状態に陥っていることが多いです。

Webアプリケーションに脆弱性があると、サイバー攻撃を受けて自社に被害が出るだけでなく、お客様情報や取引先の情報などが流出し、社会的信用を大きく落とす可能性があります。つまり、被害者になるのと同時に、他者・他社にとっての加害者になってしまうリスクが存在しているのです。

こういったリスクを低減させるため、低価格で利用できるgSCANが製品化されました。セキュリティ対策として何をすればいいかわからない、セキュリティ対策に割ける予算が限られている企業でも気軽に利用でき、被害を最小限に抑えることで、国内のセキュリティレベルも高くできると考えているそうです。

サイバー攻撃により「加害者」になる前に脆弱性診断を

過去5年ほどで、日本のセキュリティ意識は向上しています。かつては一部の人にしか知られていなかった「脆弱性診断」という言葉ですが、今では正確に理解しているユーザーが増えました。しかし同時に、サイバー攻撃の複雑化も進んでおり、セキュリティの弱点をつく事例も少なくありません。

外部に公開しているWebサイトは、常に危険にさらされています。「うちはこれまで問題がなかったから、これからも大丈夫」といったような根拠のない安心感のせいで、取り返しのつかない事態に陥ることは珍しくありません。自社のWebサイトに脆弱性は存在していないのか、「大丈夫だろう」と楽観視するのではなく、常に「危険かもしれない」と危機感を持って、積極的にセキュリティ対策を実施してください。

「一度も脆弱性診断をしたことがなく、何から手を付けて良いかわからない」という方は、ぜひgSCANのトライアルを試してみてください。レポートはサマリーのみになりますが、無料で診断を受けることができます。手順も簡単で、問い合わせ後にヒアリングシートと合意承諾書が送られてくるので、それらを提出後にスケジュールを合わせ、診断を実施します。結果が出たらサマリーレポートが送られてくるので、内容を確認して完了です。少しでも興味を持った方は、こちらからお気軽にお問い合わせください。