起業ログTOP > 法人ITサービス一覧 > セキュリティ・脆弱性診断 > Vex Webアプリケーション脆弱性検査ツール
記事更新日: 2021/10/27
Vex Webアプリケーション脆弱性検査ツールは、自動巡回・シナリオマップ機能でシナリオ作成・管理が簡単なWebアプリケーション脆弱性検査ツールです。ユーザーからのフィードバックをもとに定期的にシグネチャを更新しており、ユーザーニーズに沿った検査機能が充実。操作方法や検査方法に関するトレーニングやeラーニングによるサポートなど万全なサポート体制となっているので、運用が不安な企業や初めて利用する企業には特におすすめです。
セキュリティ・脆弱性診断を比較したい方はこちら
利用規約とご案内の連絡に同意の上
セキュリティ診断ツールツールを徹底的に調べた起業LOG編集部がおすすめする5サービスの資料をダウンロードできます。
コーポレートサイトやECサイトなど多様のWebアプリケーションに対応可能な「純国産」のWebアプリケーション脆弱性検査ツールです。講師によるトレーニング、eラーニングが利用できるなど導入後のサポートが充実しています。
月額料金が無料で利用できるツールと比較すると、価格面での導入ハードルは少し高くなっています。
シナリオマップ機能については、GUI操作で簡単にシナリオを作成できます。
操作方法・検査方法についてのサポートだけでなく、講師によるトレーニング・eラーニングでの受講も可能となっており、サポート体制は万全です。
海外製品にありがちな読みづらい日本語レポートを回避。わかりやすい日本語によるレポートが可能で、もちろん英語にも対応しています。
このページの目次
「Vex Webアプリケーション脆弱性検査ツール」の1つ目の特徴は、以下の3つの機能でシナリオの作成・管理が簡単にできることです。
①自動巡回
検査範囲が広い大規模Webサイトやコーポレートサイトでは、自動巡回が便利です。
巡回対象のURLを設定すれば、サイトに含まれるURLが自動収集され、画面遷移を最適化することで、簡単にシナリオを作成することができます。
また、認証情報とフォームを設定すれば、ログインが必須なサイトであっても、自動ログインして巡回をおこなうことができるので、作業時間を大幅に短縮することができます。
②シナリオマップ
シナリオマップ機能ではGUI操作で簡単にシナリオを作成できます。
たとえば、ECサイトを運営する企業では、Webサイト上で、【カートに商品を入れる】→【配送先と支払方法を選択】→【確認画面】→【購入完了】という定型的なパターンのシナリオも、簡単に作成・管理することが可能です。
③Handler
Handlerを使用すれば、簡単なシナリオだけでなく、複雑なテストシナリオにも対応できます。
リクエストに任意の準備処理・後処理や追加検査を設定できるだけでなく、セカンドオーダーアタックの検出や、一意性制約等のバリデーションを回避しながらの診断など、複雑なテストシナリオにも対応可能です。
「Vex Webアプリケーション脆弱性検査ツール」の2つ目の特徴としては、一般的な脆弱性を検査するだけでなく、マルチバイト文字列の取り扱いに起因する脆弱性やフレームワーク固有の脆弱性など、独自の検査シグネチャも豊富であるという点です。
ユーザからのフィードバックをもとに定期的にシグネチャを追加/更新していることから、他のツールと比較してもよりユーザーニーズに沿った検査機能を備えているといえるでしょう。
また、検査のための送信パターンを作成・レスポンスを定義し、任意の脆弱性を検知するなど、ユーザ定義のカスタムシグネチャを作成することもできます。
さらに、便利なのが、Webアプリケーションだけでなく、サーバーに起因する問題も検出できるという点です。
公開したくないファイルが公開されていないかのチェックだけでなく、設定ミスに由来する脆弱性やサーバソフトウェアの既知の脆弱性の検査まで実行可能です。
「Vex Webアプリケーション脆弱性検査ツール」の3つ目の特徴は、わかりやすいレポート機能です。
検査結果については、提出先の用途に応じたフォーマットで出力することができます。
たとえば、開発者向けのチェックリスト、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、目的に合わせたレポートを作成できるのが大きな特徴です。
各レポートは、日本語だけでなく、英語にも対応しているので、外資系企業など開発者や報告先の上司が海外にいる場合でも、自社で翻訳作業の工数をかけることなく迅速にレポートを提出することができます。
脆弱性統合分析ツール(ThreadFix/CodeDx)に取り込めるレポートの出力も可能なので、複数の検査ツールの検査結果をもとに詳細な分析をすることも可能です。
個別見積もりとなっているので、詳細はお問い合わせをする必要があります。
クレジットカード業界におけるグローバルセキュリティ基準PCI DSSを運用・管理する立場でもあるジェーシービーは、Webアプリケーション開発のセキュリティ品質の統一とコスト削減を目的に、Vexを導入しました。現在は、複数のプロジェクトにおけるWebアプリケーションの脆弱性検査に加え、開発中のWebAPI基盤の検査にも活用しています。
Webアプリケーションの長期的な脆弱性対策に悩んでいる企業には、ぜひ検討してもらいたいツールです。
なぜなら、「Vex Webアプリケーション脆弱性検査ツール」は、導入後も専属講師によるトレーニングやeラーニングなど、継続してクライアントを支えるサポート体制が整っているからです。
競合ツールとしては、海外ツールも多い中で、「純国産」であるというのも安心できるポイントです。
セキュリティを強化したいけど、具体的にどのような対策を講じればいいか自社では判断できないという企業にはとくにおすすめのツールです。
100社の導入事例まとめがついてくる!
起業LOG独自取材!
近年多発する脆弱性攻撃による情報漏洩やシステム破壊等に対抗するため、全社統一のセキュア開発・脆弱性検査ルールの策定を行うことが決定し、脆弱性検査ルールの中核を担うツールにVexを選定しました。Vexによる脆弱性検査がルール化されたことで、社内システムも含めた全社レベルでのセキュリティ向上とお客様への提案力強化を実現しています。