HOME > 検証サービス・ツール > セキュリティ・コンプライアンス > VEX

Webアプリケーション脆弱性検査ツール - VEX -

VEX 国内累積600ライセンスの導入実績。発売以来、セキュリティサービス提供事業者をはじめ、官公庁、大手企業など、幅広い業種・業態のお客様の指示を得る、Webアプリケーション検査ツールの決定版。 VEX(Vulnerability EXplorer)は、優れた脆弱性検出率と多彩なレポート機能を誇る純国産Webアプリケーション脆弱性検査ツールです。 Webブラウザからの操作で操作場所を選ばず利用でき、検査の実行履歴や報告書の出力履歴を一元化、共同作業と中央管理の両立を実現。幅広いニーズに応える脆弱性検査ツールです。 ※2013年1月現在

脆弱性検査項目の代表例

  • SQLインジェクション【 SQL Injection 】
  • OSコマンドインジェクション【 OS Command Injection 】
  • XSS【 Cross Site Scripting 】 クロスサイトスクリプティング
  • CSRF【 Cross Site Request Forgeries 】 クロスサイトリクエストフォージェリ

その他の脆弱性についても対応しています。詳しくはお気軽にお問い合わせください。

こんな方にお勧めします

  • Webアプリケーションでサービス提供をされている企業
  • Webサイトを持つ企業
  • Webサイト・Webアプリケーションの開発を外部委託している企業
  • Webサイト・Webアプリケーション開発事業者

こんな悩みを解決します

  • 開発したシステムに対して脆弱性診断を自社内リソースで実施したい
  • 脆弱性診断は必要だが、サービス(システム)のリリースが頻繁で毎回第三者へ依頼することが難しい
  • 社内の開発プロセスへ脆弱性検査を加えたい。
この検証ツールについてのお問い合わせ

このページを見た人が一緒に閲覧しているページ

スマートフォンアプリケーションセキュリティ診断

スマートフォンアプリケーションセキュリティ診断

iOS・Androidアプリ本体/サーバー側の脆弱性を検出、対応策もサポート
Webアプリケーションセキュリティ診断

Webアプリケーションセキュリティ診断

Webアプリ・サイトの脆弱性・セキュリティホールを検出、対応も支援
ネットワークセキュリティ診断

ネットワークセキュリティ診断

サーバ・ネットワーク機器を検証、セキュアなネットワークを実現
セキュリティ教育

セキュリティ教育

セキュアプログラミング・発注・運営に必要な基礎知識習得を支援
セキュリティガイドライン策定支援

セキュリティガイドライン策定支援

セキュリティ水準向上に不可欠なガイドラインの策定をサポート

PAGE TOP

特長

進化を続ける脆弱性検出ツール

VEXの検査エンジンは、数多くの脆弱性を診断してきた経験豊富なエンジニアの手動検証の経験をもとに作成されました。 検査対象URLへのアクセス順序をテストシナリオ化し、パターンマッチングと独自の分析アルゴリズムを併用することにより、自動検出ツールの長年の課題である検出精度や、検証対象ファイルを選定するクロール機能の性能向上に成功。2007年のリリース以来、各社の脆弱性診断チームや、セキュリティベンダーからの数千サイトに及ぶ診断結果で得られたフィードバックを反映し続けることによって、新たに発見された脆弱性にも対応。多数のセキュリティ専門技術者が認める、進化し続ける脆弱性診断ツールです。

VEXの検査エンジン イメージ図

国産ツールならではの、細かな配慮のある機能(日本語完全対応)とトラブル対応

純国産ツールであるため、最新機能はもちろん詳細な技術資料も日本語版で提供されます。また、全てのテストは日本語環境下で実施するため、マルチバイト環境特有のバグが発生することもありません。 また、ツールのトラブル発生時の迅速なサポート体制も強みです。ツールのサポート部門と開発部門が密接に連携し解決にあたり、原因調査から改修の意思決定、コードの修正まで全て弊社内にて簡潔する体制をとることで迅速な対応を実現しています。

画面遷移図ベースのテストシナリオ作成

検査対象Webサイトの構成把握に有効な遷移図が作成可能です。 巡回したログをベースに自動で遷移図を自動作成。巡回中のサイトで動的に画面遷移図を作成できます。 画面遷移図に従い検査を実行し、検出した問題をリアルタイムで表示します。 また、画面遷移図をエクセル形式で出力可能。様々な用途に応用することができます。

画面遷移図のキャプチャ― 画面遷移図
画面遷移図作成例のキャプチャ― 画面遷移図作成例
画面遷移図を利用することにより、
  • 1)ECサイト上で商品をショッピングカートに入れる
  • 2)配送先を入力し、支払方法を選択
  • 3)最終確認画面を経由
  • 4)商品を購入する
というような、複雑なテストシナリオも作成可能になりました。

検査実施内容の確認/検査漏れ防止機能を実装

検出した問題に関する精度が高い詳細な検査結果の表示はもちろん、問題の検出、未検出に関わらず、実施した検査結果を全件表示するため、検査結果の把握・管理・報告が容易です。 必要な検査が実施されていない場合は、アラート表示およびアドバイス表示で適切な対応を促す「検査漏れ防止機能」も実装。

全検査内容を分かりやすくまとめられる多彩なレポート機能

開発者向けに検査の実施状況を確認するためのチェックリスト(Excel形式)や、サイトオーナー向けに脆弱性検出結果確認ための詳細レポート(Word形式でカスタマイズが可能)、セキュリティサービスベンダー向けの検出結果サマリレポートなど、用途に応じた様々なフォーマットでのレポートを出力することが可能です。

レポート作成例1のキャプチャ― レポート作成例1
レポート作成例2のキャプチャ― レポート作成例2
セキュリティテストチェックリストのキャプチャ― セキュリティテストチェックリスト
  • 1. 脆弱性検出状況をグラフ入りで解説、危険度を4段階評価
  • 2. 脆弱性修正箇所の特定と修正に必要な情報が記載された詳細レポート
  • 3. パラメータ毎の脆弱性検査状況が確認可能なチェックリスト

多様な脆弱性を検出可能

SQLインジェクション、OSコマンドインジェクション、パラメータの改竄、クロスサイトスクリプティング、セキュア属性指定のないCookie、エラーコード、バッファオーバーフロー、セッション固定化 、クロスサイトリクエストフォージェリ、HTTPSの使用方法、不要な情報(Unnecessary Information)などハッカーが狙う脆弱性要因のベスト10(OWASP TOP10)にも対応した検査手法(検査シグネチャ)に加え、純国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性にも対応しています。 検査シグネチャはセキュリティサービスベンダーからの最新情報も取り入れ、定期的に更新されています。

PAGE TOP

最新トレンドにも対応

Webアプリケーション関連技術は日進月歩で進化しており、Webアプリケーション脆弱性検査ツールも技術の進化に合わせた機能拡張が要求されます。弊社ではWebアプリケーション脆弱性診断サービス部門やセキュリティベンダーからのフィードバックにより、脆弱性診断時に必要とされる機能の実装や、最新の技術へのVEXの適応を実現しています。

グローバル対応(レポートの英語出力機能)

脆弱性検出結果の詳細が記載されたレポート(Microsoft Word ファイル形式)と、検出された脆弱性がリスト化されたレポート(Microsoft Excel ファイル形式)を英語で出力します。

HTML5対応

HTML5の利用に起因する脆弱性を検出いたします。 ・HTML5で追加、機能が拡張されたHTML要素における以下の脆弱性を検出: 「Cross-Site Scripting」、「Parameter Manipulation」 ・HTML5におけるセキュリティ機能設定の有無を検出

シングルサインオン対応

複数サイトを経由する認証処理の再現が可能であり、OpenIDを使用したWebアプリケーションの検査も問題なく実施することが出来ます。

多種多様なWebアプリケーションをサポート

Ajax, Soap, JSON, PATH_INFOなどの代表的な技術からDWR (Direct Web Remoting)などの特殊なフォーマットまで、多種多様なリクエストフォーマットの検査をサポートしています。

ロケーションフリーなライセンス体系。さらに、検査データの一元管理と共同作業の実現

VEXはWebシステム型をプラットフォームに採用。インターネットやイントラネットを介して、どこからでも脆弱性検査を実施可能。従来の検査ツールに多いスタンドアローン型だけでは難しかった複数クライアントからの検査と、検査結果の一元管理を実現しました。複数ユーザーによる共同作業が可能なうえ、検査の実行や報告書の出力を一元管理。作業者、管理者のいずれの立場においても、検証工程の負荷を大幅に削減します。

利用シーンに応じたシステム構成

スタンドアローンでの稼働

スタンドアローンでの稼働 イメージ図

1台のPC上でVEXを稼働。オンサイトでの脆弱性診断などに適したシステム構成です。

共有サーバー上での稼働

共有サーバー上での稼働 イメージ図

Webサーバー上でVEXを稼働させます。複数人での利用に適したシステム構成です。

PAGE TOP

スマートフォン関連オプション

多くのスマートフォンアプリケーションは、Webサーバと通信し、情報を受け渡す動作をします。この通信内容は、Webアプリケーションと同様に、改ざんされたり、盗聴されたりする危険性があります。また、スマートフォンアプリケーションの脆弱性が原因となり、情報が第三者に漏えいする危険性もあります。そこで、VEXでは、セキュアなスマートフォン環境構築をサポートするために、二つのスマートフォン関連オプションを提供しています。

スマートフォン関連オプション 概要 イメージ図

Android静的解析オプション

Androidアプリの脆弱性を静的解析で検査いたします。本オプションは、当社のセキュリティ診断サービスのノウハウが反映されたガイドラインを含む、複数のセキュリティガイドラインを検査項目として採用し、漏れのない脆弱性検査を実現いたします。

複数のガイドラインを採用した検査項目

既存のAndroidアプリ検査ツールの多くは、一つのセキュリティガイドラインを検査項目として、参照しています。この場合、ガイドラインが取り扱わない項目については、問題が見逃されてしまう可能性があります。本オプションは、当社のセキュリティ診断サービスのノウハウが反映されたガイドラインを含む、複数のセキュリティガイドラインを検査項目として採用することで、漏れのない脆弱性対策をご支援いたします。

繰り返しの検査に有益な精査機能

静的解析ツールは、動的解析ツールと比較して、検査が終了するまでの時間は早いが、精査のコストがかかるという問題があります。早いサイクルで、細やかなバージョンアップを実施するAndroidアプリを検査する際には、精査コストをいかに減らすかが、課題となってきます。本オプションでは、この課題を解決するための仕組みとして、精査済みの脆弱性と同一の脆弱性は以後の検査で、検出対象外とすることが可能な仕組みを組み込みました。この仕組みを活用することで、繰り返し検査の効率が大幅に向上します。

Androidアプリが連携するWebアプリケーションも包括的に検査

Androidアプリの多くは、インターネット上のWebアプリケーションサーバと通信しますが、Webアプリケーションサーバが検査の対象から漏れている場合が多いのに加え、深刻な脆弱性を内包しているケースが散見されます。『VEX』では、本オプションと「スマートフォン拡張モジュールオプション」を組み合わせることで、Androidアプリと連携するWebアプリケーションも対象とした、包括的な検査を実現いたします。

立場・ニーズに合った解析レポートを提供

Androidアプリの発注者、開発者、それぞれの立場で求められるレポートは異なります。本オプションでは、結果サマリが記載されたレポート(Microsoft Wordファイル形式)と、検出された脆弱性およびその詳細がリスト化されたレポート(Microsoft Excelファイル形式)が出力され、それぞれの立場やニーズに合ったレポートをご提供いたします。

レポートイメージ:
 

レポート イメージ図

スマートフォン拡張モジュールオプション

iOSやAndroid™から送信される通信は、Webブラウザから送信される通信とは異なり、HTTPSの取り扱いや、プロキシを経由しない通信の取り扱いなど、異なる制約が存在しています。本オプションは、これらの制約を回避した脆弱性検査を実現いたします。

PAGE TOP

スペック

システム/ソフトウェア要件

OS Windows(R) operating system(64ビット推奨)
CPU CPU 1GHz 以上(2GHz以上 推奨)
メモリ 2GB 以上(4GB以上 推奨)
HDD 50GB (300GB以上 推奨)
ソフトウェア
  • JDK(Java Development Kit)
  • Internet Explorer(R)(Internet Explorer 11 推奨)
  • Apache Tomcat
  • PostgreSQL
  • Microsoft(R) .NET Framework

※Microsoft、Windows、Internet Explorerおよび.NET Frameworkは、米国Microsoft Corporationの米国及びその他の国における登録商標または商標です。Java、JDK、JRE、Java SEは、Oracle America, Inc. の商標です。Apache、Tomcatは、Apache Software Foundationの登録商標または商標です。PostgreSQLは、PostgreSQLの商標です。その他、記載されている会社名、製品名は、各社の登録商標または商標です。

ライセンス

種類 特徴
デベロッパーパッケージ 自社で開発もしくは運営するWebアプリケーションの検査を実施する際に使用するライセンスです。ドメイン数などの制限はありません
オーディターパッケージ 脆弱性検査サービスを実施する際に使用するライセンスです。本パッケージにはユーザアカウントが一つ含まれます。ドメイン数などの制限はありません。
ユーザアカウント ユーザ数分ご購入ください。

※VEXは弊社セキュリティアライアンスパートナーである株式会社ユービーセキュアが開発/提供する製品です。

VEX」についてのお問い合わせはこちら

この検証ツールについてのお問い合わせ

PAGE TOP

このページを見た人が一緒に閲覧しているページ

スマートフォンアプリケーションセキュリティ診断

スマートフォンアプリケーションセキュリティ診断

iOS・Androidアプリ本体/サーバー側の脆弱性を検出、対応策もサポート
Webアプリケーションセキュリティ診断

Webアプリケーションセキュリティ診断

Webアプリ・サイトの脆弱性・セキュリティホールを検出、対応も支援
ネットワークセキュリティ診断

ネットワークセキュリティ診断

サーバ・ネットワーク機器を検証、セキュアなネットワークを実現
セキュリティ教育

セキュリティ教育

セキュアプログラミング・発注・運営に必要な基礎知識習得を支援
セキュリティガイドライン策定支援

セキュリティガイドライン策定支援

セキュリティ水準向上に不可欠なガイドラインの策定をサポート

用語解説

セッション固定化【 Session Fixation 】

取得または推測した任意のセッションIDを、強制的に他のユーザーに使用させる攻撃。ログイン後のユーザーのみが利用可能なサービスの悪用、情報の閲覧、改竄、ユーザーに成りすました情報発信などの悪用が可能となる。

セキュリティベンダー【 Security Vendor 】

情報セキュリティに関する製品やサービスを提供する事業者。ウイルス対策ソフトのようなセキュリティソフトを開発・販売するメーカーや、ファイアウォールやスパムメール対策といったセキュリティ関連システムの開発や構築を請け負う事業者、様々なソフトウェアの脆弱性を調査してその情報を提供する企業など。セキュリティサービスベンダーともいう。

仕様書・設計書検証

セキュリティ・コンプライアンス

システム機能検証

テスト自動化

テストプロセス改善

ソースコード検証

システム負荷検証

測定サービス・ツール

管理・監視・運用

開発者支援

認証審査