Webアプリケーション診断
セキュアなWebサービス開発・提供を支える
Webアプリケーション診断とは、外部からの攻撃者視点で疑似攻撃を行うことでWebアプリケーションに潜む脆弱性を検出し、攻撃を受けた際のリスクを検証する手法です。診断結果をもとに適切な対策を講じることで、サイバー攻撃による不正アクセスや情報漏えいの防止につなげることができます。
Webアプリケーション診断の活用場面(例)
- 新規サービスや機能のリリース前
- 既存システムの大規模アップデート後
- セキュリティ事故やインシデントの発生後
- セキュリティ要件のある業界での運用
- 外部ベンダーや委託先が開発したシステムの受け入れ時
デジタルサービスがビジネスの主流となる昨今、Webアプリケーション診断の要求レベルは高まり続けています。進化するセキュリティ脅威に対応するためには高頻度での診断が必要となる反面、リリース頻度・速度は高まる一方となっています。
Webアプリケーション診断において
多くの企業が抱える課題
ベンダーに外注していてコスト・スケジュールがネックになっている
すべてのサービスに定期的・網羅的な診断ができていない
ツールを導入したが、結局手間・時間がかかっている
手元ですぐに診断できる環境の
必要性が高まっている
これらの課題から、Webアプリケーション診断を自社内で実施する体制を整えること、いわゆる内製化を検討・進める企業が増えています。内製化をすることで、外注と比べて安価に実施できることはもちろん、スケジュールがコントロールしやすくなり、然るべき頻度やタイミングで診断を実施することが可能になります。
Webアプリケーション診断を
内製化するメリット
コスト削減
柔軟性UP
対応スピード
向上
ノウハウの
蓄積
使用するツールによっては、専門知識を要するものやデータの整形などの関連作業に人の手を要するものもあるため、いま社内にあるリソースで運用できるかをしっかり見極めましょう。
Webアプリケーション診断の内製化を検討するにあたって、リソースの問題以外に課題となるのが、診断精度です。
特にこれまでベンダーに外注していたケースにおいては、ツールに切り替えることで精度への信頼度が落ちてしまい、なかなか社内の理解を得られないということもよくあります。
AeyeScanなら誰でも簡単に
プロさながらの高度な
Webアプリケーション診断を実現
AeyeScanは、高度なAIで診断作業を自動化することで、「誰でも使える簡単さ」と「プロさながらの品質・精度」を両立させた、クラウド型Webアプリケーション脆弱性診断ツールです。
診断業務の内製化を成功へ導き、現場で手軽に診断が行える体制の構築を支援します。
AeyeScanが選ばれている
“理由”
非エンジニアでもOK!
3STEPで診断開始
スタートガイドに従って進めるだけのかんたん導入。そのため、トレーニング不要で、非エンジニアの方でも最短10分で診断を開始することが可能です。
また、AIを用いた自動クローリングによって、テストシナリオを自動で生成するため、面倒なテスト範囲の設定も必要ありません。さらに豊富な機能で、理想の脆弱性診断を実現いたします。
セキュリティのプロも認める
安心の診断項目
AeyeScanが提供するのは簡易的な脆弱性診断ではありません。世界的なセキュリティ基準として定評のある、OWASPアプリケーションセキュリティ検証標準に沿った診断項目に対応。随時アップデートを行うことで最新のセキュリティ状況を反映し、本格的な脆弱性診断を提供しています。
このことから、多くのセキュリティベンダーにも活用いただいています。
ここがポイント
-
経済産業省が策定した「情報セキュリティサービス基準」に適合している脆弱性診断サービスとして、AeyeScanが「情報セキュリティサービス台帳」に登録
- 独立行政法人情報処理推進機構(IPA)2021年度 セキュリティ製品の有効性検証において、有識者会議による審査の結果、AeyeScanが選定
専門家作成と遜色ないレポートを自動生成
当然ながらセキュリティ対策は、脆弱性診断だけでは終わりません。発見された脆弱性のある箇所に対して、適切な対策が求められます。
AeyeScanでは、脆弱性のある箇所をただ羅列するだけではなく、どういったリスクがあるのか、どういった対策が必要であるのかなど、専門家が作成するものと遜色ない診断レポートを自動で生成。
そのまま開発部門に渡せる内容を網羅しているため、担当者によるレポート作成業務が不要です。
FAQ
-
料金の目安について教えてください
お客様の用途やサイト数などに応じて個別にお見積りいたします。
最適なプランをご提案いたしますので、まずは「お問い合わせフォーム」より、お気軽にご相談ください。 -
どのような導入形態がありますか?
AeyeScanはクラウド上で提供されるSaaS形式です。専用サーバーの構築やソフトウェアのインストールは不要で、ブラウザからログインするだけで即座に診断を開始できます。
-
どのような企業が導入していますか?
IT企業やSIerはもちろん、金融、製造、流通など、業種・業態を問わず幅広いユーザー企業にご導入いただいております。
また、高度な専門知識を持つセキュリティベンダー各社に、診断業務の基盤ツールとして活用いただいている点もAeyeScanの特長です。導入企業の一部を「こちら」でご紹介しています。
-
他社の診断ツールと何が違うのですか?
他社ツールとの違いは主に、「AIによる高精度な自動巡回」と、誰でも使える「運用のしやすさ」にあります。
具体的には、以下の3つのポイントで圧倒的な効率化を実現します。
① AIによる高精度な「自動巡回」
従来のツールが苦手とする「フォーム入力のエラー」による診断の停止を防ぎます。AIが名前・住所はもちろん、クレジットカード番号や画像アップロードまで適切に判別して入力。人間が操作するように深く、正確にサイト内を巡回するため、手動診断に近い網羅性を自動で実現します。② 診断範囲が一目でわかる「画面遷移図」の自動生成
巡回と同時に、サイト全体の構造を可視化する「画面遷移図」を自動で作成します。どこに脆弱性があり、どこにリンク切れ(404エラー)があるのかが瞬時に把握できるため、「どこまで診断できたかわからない」という不安を解消し、診断範囲の透明性を確保します。③「そのまま渡せる」日本語レポートと国内サポート
AIが脆弱性の内容やリスクを自然な日本語で解説。経営層向けのエグゼクティブサマリーから、開発者向けの修正ログまで、PDF・Excel・CSVなど様々な形式で出力可能です。翻訳や解釈の手間なくそのまま現場へ共有でき、対策実行までのスピードを劇的に早めます。また、日本語での丁寧なサポートもご評価いただいております。 -
どのような検査項目に対応していますか?
OWASP TOP10とIPAの 安全なウェブサイトの作り方、ASVS5.0に対応しています。
具体的な検出項目の一覧については、弊社サポートポータル内のFAQ(こちら)にて詳しく記載しておりますので、あわせてご参照ください。
