アジアンリンクは2019年8月1日、Webアプリの脆弱性診断サービス「SCUVA(スキューバ)」の販売開始を発表した。田邊克重社長は「自動診断ツールと専門家の手動診断を組み合わせ、費用対効果の高いセキュリティー診断サービスを実現した」とその特徴を話す。

 アジアンリンクの親会社は、セキュリティー関連サービスで実績のあるラック。SCUVAは、いわば親ゆずりのセキュリティー診断の知見を生かし、調査の品質向上や効率化を図っている。料金は1サイト当たり49万円(税別)。サービスの提供開始は2019年10月1日である。

 SCUVAでは、まず対象サイトの全画面に対してツールによる自動診断を実施。次に、「なりすまし」といったツールでは検知しづらい脆弱性について、手動でサンプリング診断を行い、調査の網羅性を高める。

 「ラックのノウハウに基づいた診断文字列や脆弱性確認手法の活用で、SQLインジェクションやクロスサイトスクリプティングなどに対する脆弱性を効率よく確認できる」。SCUVAの立ち上げに携わったラック SSS事業統括部の吉田聡担当部長は、手動診断での優位性をこう説明する。

 「報告書の作成が3営業日と短いのも特徴」(吉田担当部長)であり、トータル5営業日で診断が完了する。報告書では、「セッション管理が弱い」「文字列入力への対策に不備がある」といった脆弱性の傾向を指摘。「課題を顧客社内で横展開してもらい、全体のセキュリティー向上を促す」(同)。

 SCUVAを投入した狙いは大きく2つある。1つは、ラックがさばき切れない顧客案件の受け皿である。吉田担当部長は「これまで繁忙期ではラックへの診断依頼を断るケースもあった」と打ち明ける。もう1つは、費用対効果の高い診断サービスで、中堅・中小企業の市場を開拓することだ。

 「エンタープライズ分野はこれまで通りラックが中心、アジアンリンクは顧客のすそ野を広げていきたい」。田邊社長はラックとアジアンリンクのセキュリティー事業の役割分担をこう説明する。SCUVAの売り上げ目標は、関連サービスも含めて2022年までに年間2億円である。