ツール
Webアプリケーション脆弱性自動検査ツールVexCloud
機械学習やJavaScript動的解析などの技術により、
従来よりも高い巡回・診断性能を実現
- このような方にお勧めします
-
- Webアプリケーションでサービス提供をされている企業
- Webサイトを持つ企業
- Webサイト・Webアプリケーションの開発を外部委託している企業
- Webサイト・Webアプリケーション開発事業者
- このような悩みを解決します
-
- 開発したシステムに対して脆弱性診断を自社内リソースで実施したい
- 脆弱性診断は必要だが、サービス(システム)のリリースが頻繁で毎回第三者へ依頼することが難しい
- 社内の開発プロセスへ脆弱性検査を加えたい
VexCloudとは
長年選ばれ続けたVexのノウハウをもとに脆弱性診断をより手軽に、より簡単に、そしてより身近なものに生み出されたWebアプリケーション脆弱性自動検査ツール「VexCloud」
選ばれる理由
Reason 01 自動巡回で診断がより手軽に
製品サービス開発のシステムが複雑化し、セキュリティ対策が求められている一方で、セキュリティ人材が不足している現在、自動で検査を行い操作も簡単、しかも人に依存せずに使用可能なツールは不可欠です。
「VexCloud」は、機械学習やJavaScript動的解析などの技術により、従来よりも高い巡回・診断性能を実現。検査用のシナリオ(疑似攻撃リクエスト)も自動生成でき、設定や操作も簡単です。
開発者様やサイト運用担当者様の「気軽に脆弱性診断を行いたい」「開発工程にあわせて随時検査したい」といったニーズにお応えします。
Reason 02 Vex譲りの検査性能
- 「VexCloud」は、8年連続マーケットシェアNo.1*のプロツールである「Vex」を、より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
検査可能な脆弱性の種類
- 不適切なアクセス制御やセキュリティ設定不備
- SQLインジェクションなどの各種インジェクション系
- クロスサイトスクリプティング
- セッション管理や平文通信などの通信に係る脆弱性
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
* 富士キメラ総研調べ「2023 ネットワークセキュリティビジネス調査総覧」(Webアプリケーション脆弱性検査ツール 2022年度実績)
Reason 03
Webサイト単位での管理負担が
大幅に軽減
Webサイトを複数お持ちの場合、管理も大変です。
Webサイトを公開したのはいいものの、セキュリティアップデートなどの管理を行っていなかったり、脆弱性検査を行わずに公開したため重大な脆弱性が放置されていたりするケースも散見されます。
そのようなWebサイトの管理を一気に引き受けるのが「VexCloud」。
お客様の保有するWebサイトを自動巡回し、すべてのWebサイトをリストアップ、それらをWebサイト単位で管理します。
手間をかけずにWebサイトの管理ができ、重大なインシデントを未然に防ぎます。
VexCloudの特長
静的サイトだけでなく、従来は自動巡回が難しかったJavaScriptで構築された動的サイトについても、株式会社ユービーセキュアの独自技術で、自動的にクローリング(巡回)し、診断を実施します。
-
Point 1
自動クローラーで
面倒なシナリオ作成が不要WebサイトのURLを指定するだけの簡単操作で脆弱性検査が開始できます。
-
Point 2
ログイン認証が必要な
サイトも問題なしシンプルでわかりやすいシナリオ作成機能で、ログイン処理も簡単に登録できます。
-
Point 3
SPA*にも対応
*Single Page Application豊富な脆弱性検査の知見をもとに開発された独自の動的解析で、JavaScriptで構築されたサイトも巡回できます。
脆弱性カテゴリーとガイドラインへの対応
- 脆弱性カテゴリー
-
- SQLインジェクション
- ディレクトリートラバーサル
- オープンリダイレクト
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- 平文通信
- HTTPヘッダーインジェクション
- アクセスコントロールの不備
- 過度な情報漏えい
- セキュリティ設定の不備
- レスポンスヘッダーの設定不備
- 安全でないデシリアライゼーション
- セッション管理不備
- Cookieの設定不備
- セッションフィクセーション
- エンコーディング設定の不備
- OSコマンドインジェクション
- サーバーサイドリクエストフォージェリ
- XML外部実体参照
- 不適切なエラー処理
- OWASP TOP10(2021) の以下項目に対応
-
- A01.アクセス制御の不備
- A02.暗号化の失敗
- A03.インジェクション
- A04.安全が確認されない不安な設計
- A05.セキュリティの設定ミス
- A07.識別と認証の失敗
- A08.ソフトウェアとデータの整合性の不具合
- A10.サーバーサイドリクエストフォージェリ(SSRF)
- IPA「安全なウェブサイトの作り方」の
以下項目に対応 -
- SQLインジェクション
- OSコマンドインジェクション
- パス名パラメーターの未チェック/ディレクトリートラバーサル
- セッション不備
- クロスサイト・スクリプティング
- CSRF(クロスサイト・リクエスト・フォージェリ)
- HTTPヘッダーインジェクション
- メールヘッダーインジェクション
- クリックジャッキング
- アクセス制御や認可制御の欠落
ライセンスについて
必要な機能にあわせて2つのプランからお選びいただけます
| 機能 | Standard | Enterprise |
|---|---|---|
| 自動診断 | 〇 | 〇 |
| 手動シナリオ診断 | 〇 | 〇 |
| 脆弱性管理 | 〇 | 〇 |
| ダッシュボード | × | 〇 |
| グループ管理 | × | 〇 |
| 監査ログ | × | 〇 |
| 認証連携 | × | 〇 |
| 二要素認証 | × | 〇 |
| ログ保存期間 | 180日間 | 3年間 |
| サポート | サポートサイト | サポートサイト |
| チェックシート対応 | × | 〇 |
詳細については別途お問い合わせください
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
