AeyeScan 最新の脆弱性情報をもとにWebアプリケーションを自動診断
Webサイトで扱う機密情報は増加の一方で、脆弱性を狙ったサイバー攻撃は深刻化
Webサイトの脆弱性とは、Webアプリケーションの設計ミスや実装の不備、またはWebサーバーの設定ミス等による情報セキュリティ上の欠陥のことです。 国内へのサイバー攻撃は増加傾向にあります。脆弱性を放置していると、マルウェアに感染しWebサイトが改ざんされてしまう、顧客や従業員の個人情報を含む重要な機密情報が漏えいするなど深刻な被害を受ける可能性があります。
またサイバー攻撃を受けた後、影響範囲の調査のためにサービスを一時停止したり、対策が困難である場合はやむなくサービスを廃止するケースもあります。 従って、サイバー攻撃の被害を未然に防ぐためには定期的なセキュリティ診断を実施することが不可欠です。
Webサイトのセキュリティ管理のお悩み
- Webサイトの安全性を確認したい
- 専任のセキュリティエンジニアがいない
- 手動診断の外注コストを削減したい
- 特定ページだけ診断したい
AeyeScan ならこれらの課題を解決し、Webサイトセキュリティ対策を支援します。
- 専門知識がない自社担当者でも簡単に操作可能。
- AI による高精度の自動診断と脆弱性の解消をわかりやすく説明したレポート。
AeyeScan の特長
point1 : 業界標準の診断項目
OWASP TOP10 や IPA「安全なウェブサイトの作り方」といったガイドラインに対応した診断項目を標準搭載。項目追加などの作業は必要ありません。
point2 : AI + RPA による自動診断
AI と RPA による自動操作によって最短10分で診断可能。SaaS提供なので、24時間いつでも診断できます。
AI がサイト巡回時に入力する値を自動で判別し、事前の設定なしに動的サイトも巡回可能です。
また、AIが診断範囲の画面遷移図を画面キャプチャを用いて生成し、サイト全体を可視化します。
point3 : サイト仕様を問わないツール診断
JavaScriptで遷移するページ や フォームの入力に特定の値や入力チェックがあるなど、サイト仕様制約から手動診断を行っていたものをツール診断に切り替えることができます。
point4 : 特定ページだけ診断可能
特定ページを対象に、ブラウザの操作履歴を記録・再現する手動巡回も可能。局所的な診断を行い診断負荷を下げることができます。
ご提供内容
Webアプリケーション脆弱性診断
ホームページの機能に応じて、通信経路、フォーム、静的コンテンツ(JavaScript)、Webサーバ等のセキュリティ診断を実施いたします。(OWASP Top10対応)
- 対応ガイドライン : OWASP TOP10、IPA セキュリティ実装 チェックリスト(対応項目詳細を確認する)
管理機能
- 巡回・診断設定機能(除外設定・セーフモード・診断負荷等)
- 巡回・診断スケジュール機能
- 結果閲覧(画面遷移図表示・リスト表示あり)
- アカウント管理(権限設定・共有設定)
- セキュリティ設定(二要素認証・IP制限可能)
- 診断開始・完了をメール、Slackにて通知
手動巡回機能
Chrome機能拡張/プラグインをインストールしたブラウザでアクセスし、正常遷移を追加・補完します。
- 特定範囲のみの診断が実施可能
- スキャン設定不要 ブラウザで記録した操作内容をインポートするのみ。診断用の特殊設定もチェックボックス選択のみで完了。
- メール連携機能 メールに含まれるURLを自動で巡回しスキャン可能
診断結果レポート
全体状況が一目でわかるチャートに加え、診断範囲の画面遷移図に診断結果を反映。修正に必要な技術的な詳細情報もわかりやすく記載します。
料金
ライセンス | Business |
---|---|
FQDN数 (同時巡回・スキャン数) | 無制限 (1) |
スキャン可能回数 | 無制限 |
ログイン機能対応 | ● |
契約期間 | 1年間 |
料金(税抜) | お問い合わせください |
※ Business の同時巡回・スキャン数を増やすことも可能です。詳細はお問い合わせください。
よくあるご質問
- サブドメインは別アドレス(FQDN)になりますか?
- はい、サブドメインは別アドレス(FQDN)になります。Businessプランは複数 FQDN を一緒に診断することができます。
- 診断方法を教えてください。
- 株式会社エーアイセキュリティラボが提供する AeyeScan を利用して、Webアプリケーションの自動診断を行います。 ホワイトハッカーによる手動診断をご希望の場合は SECURE-AID Advanced をご参照ください。
- 診断対象Webサイトの階層・ページ数に上限はありますか?
- 上限は、1万ページになります。レポートの量や診断時間が長くなるため、2000ページ以下で診断頂く事をお勧め致します。
- ログインが必要なサイトを診断できますか?
- はい、Business プランは ログイン認証があるサイトの診断も可能です。
- JavaScript 等で画面生成しているページを診断できますか?
- はい、可能です。 HTML5 や AJAX といった最新のフレームワークを利用して構築したサイトにも対応しています。
- スキャン設定は簡単にできますか?
- はい、簡単です。AIによる自動診断を行う場合は、お客様によるスキャン設定は不要です。診断設定を手動で行う場合、独自プラグインをインストールしたブラウザでのサイトでの操作内容を記録するだけとなります。
- スキャン対象のテストサーバーにBASIC認証やFireWallでアクセス制限をかけている場合は、診断できますか?
- はい、診断できます。BASIC認証は、全てのプランで診断いただけます。
なお、フォーム認証は「Business」をご契約いただいている場合、診断いただけます。
Firewall によるアクセス制限については、別途お知らせする診断元IPアドレスの通信許可設定を事前におこなっていただく必要があります。 - 脆弱性解消後の再診断は無料ですか?
- はい、無料です。
- 診断中のWebサーバーへの負荷はどのくらいでしょうか?
本番サイト向けに、Webサイトの負荷を抑えたい。または、開発環境なので早くスキャンを実施したい場合など、サイトに応じたスキャン速度を調整することが可能です。
1秒あたりのHTTPリクエストの送信数の目安は以下の通りです。
・1ブラウザ 約3リクエスト / 1秒 程度の送信が発生します
・ゆっくり 約10リクエスト / 1秒 程度の送信が発生します。
・標準 約20リクエスト / 1秒 程度の送信が発生します。
・高速 約30リクエスト / 1秒 程度の送信が発生します。- クロスドメイン認証(別ドメインでの認証)を使用しているサイトは診断できますか?
- はい、クロスドメイン認証も対応可能です。
- イントラネットやプライベートネットワークで利用できますか?
- いいえ。インターネットからアクセス可能なサイトに限られます。
- OWASP TOP10やIPAの安全な作り方に対応していますか?
AeyeScanはOWASP TOP10とIPAの 安全なウェブサイトの作り方 の以下の項目に対応しております。 また、それぞれの基準への適用状況が分かるレポートが出力されます。
OWASP TOP10
A1:インジェクション
A2:認証の不備
A3:機微な情報の露出
A4:XML外部エンティティ参照(XXE)
A5:アクセス制御の不備
A6:不適切なセキュリティ設定
A7:クロスサイト・スクリプティング(XSS)
A8:安全でないデシリアライゼーション
A9:既知の脆弱性のあるコンポーネントの使用安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構セキュリティ実装 チェックリスト
1) SQL インジェクション
2) OS コマンド・インジェクション
3) パス名パラメータの未チェック/ディレクトリ・トラバーサル
4) セッション管理の不備
5) クロスサイト・スクリプティング
6) CSRF(クロスサイト・リクエスト・フォージェリ)
7) HTTP ヘッダ・インジェクション
8) メールヘッダ・インジェクション
9) クリックジャッキング
10)バッファオーバーフロー
11)アクセス制御や認可制御の欠落- 複数のユーザーで同時に巡回、及びスキャンできますか?
- 同時実行可能な数はライセンスのユーザグレードによって異なります。(※ オプションを購入することで追加可能です。)
- スマートフォンサイトは診断できますか?
- スマートフォンサイトの診断も可能です。詳しくはお問い合わせください。
- スマートフォンサイトの診断は、モバイル用のアプリケーション診断ではなく、Webサイトと切り替え可能なスマートフォンサイトということでしょうか?
- Webサイトと切り替え可能なスマートフォンサイトという認識で問題ございません。インターネットを介して、ブラウザからアクセスできるサイトが対象になります。
- APIサーバの診断はできますか?
- GUIからAPIを操作することができる場合は診断可能です。
セキュリティ監査にも対応。プラットフォームの脆弱性を外部・内部診断、脆弱性解消の代行
スマホ、Webアプリ、IoT機器の脆弱性診断も可能です
定期的なプラットフォーム診断
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。