
Webアプリケーション脆弱性スキャナ
Webサイトは世界中に数億存在するため、サイバー攻撃の対象として一般的なものとなっています。
セキュリティの実装に問題のあるサイトも数多く存在し、情報漏洩につながったインシデントの30%は、Webアプリケーションへの攻撃に起因しています。appspider/insightAppSecは、Webアプリケーションをスキャンし、脆弱性の可能性ある個所を優先度付けしてレポートし、対策を具体的に提示します。
ガートナー最高評価のWebスキャナ
appspiderは、2015年のガートナーによるDAST(Dymanic
Application Security
Testing)評価で最高評価を得ています。insightAppSecは、2017年に販売開始したフルクラウド型のWebアプリケーションスキャナです。
どちらもユニバーサルトランスレータの実装により最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応し、検出率、検出精度、パフォーマンスに優れています。


appspiderは、2015年のガートナーによるDAST(Dymanic
Application Security
Testing)評価で最高評価を得ています。insightAppSecは、2017年に販売開始したフルクラウド型のWebアプリケーションスキャナです。
どちらもユニバーサルトランスレータの実装により最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応し、検出率、検出精度、パフォーマンスに優れています。

ダッシュボード(insightAppSec)
insightAppSecは、スキャン設定、スキャン結果を一元的に管理・参照可能なダッシュボードを提供します。
脆弱性リスクの全体状況の把握が容易です。
ダッシュボード(insightAppSec)

insightAppSecは、スキャン設定、スキャン結果を一元的に管理・参照可能なダッシュボードを提供します。
脆弱性リスクの全体状況の把握が容易です。
ユニバーサルトランスレータ
クローリングやレコーディングファイルなどから得られたさまざまなフォーマット・言語のデータを、共通かつシンプルなフォーマットに分解して解析します。
Webアプリケーションの構造を的確に把握し、脆弱性を診断するコードを高精度で注入します。
Selenium連携、Swagger連携が可能です。

ユニバーサルトランスレータ

クローリングやレコーディングファイルなどから得られたさまざまなフォーマット・言語のデータを、共通かつシンプルなフォーマットに分解して解析します。
Webアプリケーションの構造を的確に把握し、脆弱性を診断するコードを高精度で注入します。
Selenium連携、Swagger連携が可能です。

ライブレポート
PDF以外にHTMLによるインタラクティブなレポートを提供します。ドリルダウンで情報を得ることができるため、効率的な対応が可能です。
OWASP TOP10 2017、CWE/SANS、PCI DSS等のコンプライアンス レポートに対応しています。
ライブレポート

PDF以外にHTMLによるインタラクティブなレポートを提供します。ドリルダウンで情報を得ることができるため、効率的な対応が可能です。
OWASP TOP10 2017、CWE/SANS、PCI DSS等のコンプライアンス レポートに対応しています。

DevSecOps対応
設計・開発段階からJenkins/Selenium/Swaggerと連携した脆弱性テスト/対策が可能です。
チケット管理システム(JIRA等)との連携による修正プロジェクト管理が可能です。
今後のアプローチ
・設計・開発段階から脆弱性診断/テスト/対策を実施
・CI/CDツールとのインテグレーションによるテスト自動化 (例. Jenkins)
・チケット管理システムとのインテグレーションによる修正プロジェクトの管理 (例. JIRA)
従来のアプローチ
・本番環境へのアプリケーションのデプロイが完了してから見つかった脆弱性に対する修正
DevSecOps対応
設計・開発段階からJenkins/Selenium/Swaggerと連携した脆弱性テスト/対策が可能です。
チケット管理システム(JIRA等)との連携による修正プロジェクト管理が可能です。



今後のアプローチ
・設計・開発段階から脆弱性診断/テスト/対策を実施
・CI/CDツールとのインテグレーションによるテスト自動化 (例. Jenkins)
・チケット管理システムとのインテグレーションによる修正プロジェクトの管理 (例. JIRA)
従来のアプローチ
・本番環境へのアプリケーションのデプロイが完了してから見つかった脆弱性に対する修正
製品ラインナップ
Appspiderはオンプレミス型です。enterprise版は複数エンジン可能、pro版はスタンドアロンです。 insightAppSecはフルクラウド型で、コンソールとエンジンがクラウドで提供されます。
・オンプレミス型
・アプリケーションセキュリティ
テストを自社プログラムに組み
込んでいる成熟した ユーザ向け
(Jenkinsなど)
・複数のエンジンを統合的に管理
したい大規模環境向け
・オンプレミス型
・シングルユーザ
・対象アプリケーション数が少
数、または同時スキャンが必要
ない比較的小規模な環境向け
・フルクラウド型
(内部サーバ向けにローカルエ
ンジン配置可能)
・シンプルにアプリケーションの
診断・セキュリティテストの実施
・ DevSecOps/SDLC関連やその他
機能を実装
製品ラインナップ
Appspiderはオンプレミス型です。enterprise版は複数エンジン可能、pro版はスタンドアロンです。 insightAppSecはフルクラウド型で、コンソールとエンジンがクラウドで提供されます。
・オンプレミス型
・アプリケーションセキュリティ
テストを自社プログラムに組み
込んでいる成熟したユーザ向け
(Jenkinsなど)
・複数のエンジンを統合的に管理
したい大規模環境向け
・オンプレミス型
・シングルユーザ
・対象アプリケーション数が少
数、または同時スキャンが必要
ない比較的小規模な環境向け
・フルクラウド型
(内部サーバ向けにローカルエ
ンジン配置可能)
・シンプルにアプリケーションの
診断・セキュリティテストの
実施
・ DevSecOps/SDLC関連や
その他機能を実装