脆弱性診断ツール「VAddy」、 IPA「安全なウェブサイトの作り方(チェックリスト)」の全項目に対応した『検査項目追加オプション』を提供開始

サービス

2021年9月27日 11:00

株式会社ビットフォレスト(東京都千代田区、代表取締役：高尾都季一、以下ビットフォレスト)は、クラウド型Webアプリケーション脆弱性診断ツール「VAddy」において、2021年9月27日より新たに検査項目追加オプションの提供を開始しました。

このオプションを追加購入することで、独立行政法人情報処理推進機構(以下、IPA)が提唱する「安全なウェブサイトの作り方(チェックリスト)」で紹介されている全ての脆弱性の診断が可能になります。「より客観的な指標に基づく診断を実施したい」というお客様にとって最適なオプションです。

■クラウド型Webアプリケーション脆弱性診断ツール「VAddy」について

「VAddy」はクラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1(*1)を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型Webアプリケーション脆弱性診断ツールです。

従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持され、数人規模のスタートアップ企業から数万人規模の大企業まで幅広く利用されています。

VAddyのEnterpriseプラン／Enterprise+プランではこれまで11個の脆弱性に対する検査機能を提供していましたが、新たに提供を開始したオプションを追加購入することで17個の脆弱性に対する検査が可能になり、その結果、IPAが公開している「安全なウェブサイトの作り方(チェックリスト)」(*2)にて紹介されている全ての脆弱性の診断が可能になります(*3)。

●IPA「安全なウェブサイトの作り方(チェックリスト)」抜粋

・SQLインジェクション ☆

・コマンド・インジェクション ☆

・ディレクトリトラバーサル ☆

・セッション管理の不備 ★

・クロスサイト・スクリプティング ☆

・CSRF ★

・HTTPヘッダ・インジェクション ☆

・メールヘッダ・インジェクション ★

・クリックジャッキング ★

・バッファオーバーフロー ★

・アクセス制御や認可制御の欠落 ★

☆ Enterprise／Enterprise＋標準プランで診断可能

★ Enterprise／Enterprise＋検査項目追加オプションで診断可能

*1 2010年度から2020年度の実績

　 ( https://www.scutum.jp/topics/waf_leader.html )

*2 IPAへの届け出件数や攻撃が成立した場合の影響度を元に、Webサイト開発者や運営者が対処するべき脆弱性を紹介した資料。

*3 本オプションを利用した診断結果について、IPAがその保証を意味するものではありません。

●検査項目追加オプションの提供を開始した背景

これまでのVAddyは、自社で開発する国内市場売上シェアNo.1(*1)クラウド型 WAF(Web Application Firewall)「Scutum」で日々観測されている攻撃をベースに診断対象を選定してきました。VAddyが診断対象とする脆弱性の種類や数について、Webサイトセキュリティに造詣のある利用者の方々からは「必要十分な診断内容」との評価を頂いていました。

しかしながら、VAddyの利用者層の拡大にともない「より客観的な指標に基づく診断を実施したい」との声を頂くようになったことから、日本国内で最も知名度の高い「安全なウェブサイトの作り方(チェックリスト)」で紹介されている脆弱性への診断機能を提供することといたしました。

Webサイトセキュリティに関する有名な指標として「OWASP Top 10」もありますが、こちらについては自動診断ツールにて機械的に検出するのが不可能な項目が含まれていることから、既に提供しているVAddyの「手動脆弱性診断チケット付きプラン」にて対応しております。

今回の検査項目追加オプションの提供により、自社内の基準で自主的に診断を実施したいお客様から、一般的な基準で行った診断結果レポートを提出する必要があるお客様まで、幅広い場面で対応できる脆弱性診断ツールとなります。

●検査項目追加オプションについて

対象プラン　　：VAddyのEnterpriseプラン／Enterprise+プラン

検査項目　　　：・セッション管理の不備

　　　　　　　　・CSRF

　　　　　　　　・メールヘッダ・インジェクション

　　　　　　　　・クリックジャッキング

　　　　　　　　・バッファオーバーフロー

　　　　　　　　・アクセス制御や認可制御の欠落

オプション料金：月額 40,000円／年額 400,000円

料金例　　　　：VAddy Enterprise＋検査項目追加オプション

　　　　　　　　年間契約：998,000円

　　　　　　　　月間契約：99,800円

　　　　　　　　※料金は全て税別

●オンラインセミナーのご案内

今回追加された検査項目追加オプションも含めたVAddyの機能詳細やデモンストレーションは、10月25日(月)14時～開催のVAddyオンラインセミナーでもご紹介します。オンラインセミナーにはVAddy開発技術者も参加いたします。匿名でのご質問も可能なオンラインセミナーですので、年末に向けて脆弱性診断の実施を検討されている方はぜひご参加ください。

【参加費無料】10月25日(月)14時～開催！VAddyオンラインセミナー

「VAddy」オンラインセミナー申込ページ：

https://vaddy.net/ja/contents/seminar.html?frm=atpress20210927_main1

●本文内でご紹介した製品等について

・VAddy公式Webサイト

https://vaddy.net/ja/

・Scutum公式Webサイト

https://www.scutum.jp/

・IPA「安全なウェブサイトの作り方」

https://www.ipa.go.jp/security/vuln/websecurity.html

・OWASP Top 10

https://wiki.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf