脆弱性診断ツール「VAddy」、 Auth0／AWS Cognito／Azure AD B2Cなどの IDaaSを利用したWebアプリケーションも検査可能に

株式会社ビットフォレスト(所在地：東京都千代田区、代表取締役：高尾 都季一、以下 ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、9月1日「検査対象サーバー所有者確認スキップ機能」を正式リリースいたしました。5月21日からβ版にて「検査対象サーバー所有者確認スキップ機能」の提供していましたが、想定以上に反響があったことから、さらに快適にご利用いただくため機能強化を行いました。β版と同じく正式版もVAddyの全プランで引き続き無料でご利用いただけます。本機能のリリースによってAuth0、AWS Cognito、Azure AD B2Cといった第三者が提供する認証基盤を利用するWebアプリケーションへも検査が可能になります。

脆弱性診断ツールVAddy「検査対象サーバー所有者確認スキップ機能」

■新たにリリースされた機能の概要

ブラックボックス型脆弱性診断(DAST)ツールであるVAddyでは、診断の実行前に診断対象のWebサーバーの所有者確認を行う必要があります。これは、お客様が第三者のWebサーバーに対して許可なく診断することを防ぐためです。

しかしながら、診断対象がIDaaSなどの外部の認証サービスを利用するWebアプリケーションの場合、お客様自身で外部ホストの所有者確認を行えないことから、これまでのVAddyでは診断を実施することができませんでした。

今回新たにリリースされた機能は、ビットフォレストが事前に承認した特定のWebサーバー(FQDN)に限り所有者確認の作業をスキップすることができるものです。これにより、IDaaSなどの外部のホストや所有者確認を行えない社内の認証基盤を経由するWebアプリケーションでも、VAddyで検査できるようになります。

VAddyでは2018年7月にSAMLやOAuthといったSSO(シングルサインオン)への対応は完了しており、これまでも自社内のSSO基盤を利用するWebアプリケーションへの診断は可能でした。今回の機能追加ではそれを拡張し、Auth0やAWS Cognito、Azure AD B2Cといった外部の認証サービスを利用するWebアプリケーションにも広く対応できるようになります。

なお、本機能を利用してVAddyに登録されたFQDNは検査対象外となり、同時に課金対象のFQDN数にもカウントされません。

本機能のご利用を希望されるお客様は事前申請が必要となりますのでVAddyアカウントを作成(無料)した後に、info@vaddy.netまでご連絡ください。「検査対象サーバー所有者確認スキップ機能」は追加料金は発生せず、VAddyの全てのプランでご利用いただけます。

■クラウド型Web脆弱性診断ツール「VAddy」について

「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1(*1)を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Webアプリケーション脆弱性診断ツールです。

従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持され、数人規模のスタートアップ企業から数万人規模の大企業まで幅広く利用されています。

●本文内でご紹介したビットフォレスト製品について

VAddy 公式Webサイト： https://vaddy.net/ja/

Scutum公式Webサイト： https://www.scutum.jp/

*1 2010年度から2020年度の実績

( https://www.scutum.jp/topics/waf_leader.html )

●お問い合わせ

株式会社ビットフォレスト

VAddy事業部

担当　　　　　： 西野

メールアドレス： info@vaddy.net

■企業情報

【ビットフォレストについて】

URL　　 ： https://www.bitforest.jp/

社名　　： 株式会社ビットフォレスト

代表者　： 代表取締役　高尾 都季一

事業内容： Webアプリケーションセキュリティ製品の開発、販売