Webアプリケーション脆弱性スキャナ

Webサイトは世界中に数億存在するため、サイバー攻撃の対象として一般的なものとなっています。
セキュリティの実装に問題のあるサイトも数多く存在し、情報漏洩につながったインシデントの30%は、Webアプリケーションへの攻撃に起因しています。appspider/insightAppSecは、Webアプリケーションをスキャンし、脆弱性の可能性ある個所を優先度付けしてレポートし、対策を具体的に提示します。

ガートナー最高評価のWebスキャナ

appspiderは、2015年のガートナーによるDAST(Dymanic Application Security Testing)評価で最高評価を得ています。insightAppSecは、2017年に販売開始したフルクラウド型のWebアプリケーションスキャナです。
どちらもユニバーサルトランスレータの実装により最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応し、検出率、検出精度、パフォーマンスに優れています。

appspiderは、2015年のガートナーによるDAST(Dymanic Application Security Testing)評価で最高評価を得ています。insightAppSecは、2017年に販売開始したフルクラウド型のWebアプリケーションスキャナです。
どちらもユニバーサルトランスレータの実装により最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応し、検出率、検出精度、パフォーマンスに優れています。

ダッシュボード(insightAppSec)

insightAppSecは、スキャン設定、スキャン結果を一元的に管理・参照可能なダッシュボードを提供します。

脆弱性リスクの全体状況の把握が容易です。

ダッシュボード(insightAppSec)

insightAppSecは、スキャン設定、スキャン結果を一元的に管理・参照可能なダッシュボードを提供します。

脆弱性リスクの全体状況の把握が容易です。

ユニバーサルトランスレータ

クローリングやレコーディングファイルなどから得られたさまざまなフォーマット・言語のデータを、共通かつシンプルなフォーマットに分解して解析します。

Webアプリケーションの構造を的確に把握し、脆弱性を診断するコードを高精度で注入します。

Selenium連携、Swagger連携が可能です。

ユニバーサルトランスレータ

クローリングやレコーディングファイルなどから得られたさまざまなフォーマット・言語のデータを、共通かつシンプルなフォーマットに分解して解析します。

Webアプリケーションの構造を的確に把握し、脆弱性を診断するコードを高精度で注入します。

Selenium連携、Swagger連携が可能です。

ライブレポート

PDF以外にHTMLによるインタラクティブなレポートを提供します。ドリルダウンで情報を得ることができるため、効率的な対応が可能です。

OWASP TOP10 2017、CWE/SANS、PCI DSS等のコンプライアンス レポートに対応しています。

ライブレポート

PDF以外にHTMLによるインタラクティブなレポートを提供します。ドリルダウンで情報を得ることができるため、効率的な対応が可能です。

OWASP TOP10 2017、CWE/SANS、PCI DSS等のコンプライアンス レポートに対応しています。

  • DevSecOps対応

    設計・開発段階からJenkins/Selenium/Swaggerと連携した脆弱性テスト/対策が可能です。

    チケット管理システム(JIRA等)との連携による修正プロジェクト管理が可能です。

  • 今後のアプローチ

    ・設計・開発段階から脆弱性診断/テスト/対策を実施
    ・CI/CDツールとのインテグレーションによるテスト自動化 (例. Jenkins)
    ・チケット管理システムとのインテグレーションによる修正プロジェクトの管理 (例. JIRA)

  • 従来のアプローチ

    ・本番環境へのアプリケーションのデプロイが完了してから見つかった脆弱性に対する修正

  • DevSecOps対応

    設計・開発段階からJenkins/Selenium/Swaggerと連携した脆弱性テスト/対策が可能です。

    チケット管理システム(JIRA等)との連携による修正プロジェクト管理が可能です。

  • 今後のアプローチ

    ・設計・開発段階から脆弱性診断/テスト/対策を実施
    ・CI/CDツールとのインテグレーションによるテスト自動化 (例. Jenkins)
    ・チケット管理システムとのインテグレーションによる修正プロジェクトの管理 (例. JIRA)

  • 従来のアプローチ

    ・本番環境へのアプリケーションのデプロイが完了してから見つかった脆弱性に対する修正

製品ラインナップ

Appspiderはオンプレミス型です。enterprise版は複数エンジン可能、pro版はスタンドアロンです。 insightAppSecはフルクラウド型で、コンソールとエンジンがクラウドで提供されます。

  • ・オンプレミス型
    ・アプリケーションセキュリティ
     テストを自社プログラムに組み
     込んでいる成熟した ユーザ向け
      (Jenkinsなど)
    ・複数のエンジンを統合的に管理
     したい大規模環境向け

  • ・オンプレミス型
    ・シングルユーザ
    ・対象アプリケーション数が少
     数、または同時スキャンが必要
     ない比較的小規模な環境向け

  • ・フルクラウド型
     (内部サーバ向けにローカルエ
     ンジン配置可能)
    ・シンプルにアプリケーションの
     診断・セキュリティテストの実施
    ・ DevSecOps/SDLC関連やその他
     機能を実装

製品ラインナップ

Appspiderはオンプレミス型です。enterprise版は複数エンジン可能、pro版はスタンドアロンです。 insightAppSecはフルクラウド型で、コンソールとエンジンがクラウドで提供されます。

  • ・オンプレミス型
    ・アプリケーションセキュリティ
     テストを自社プログラムに組み
     込んでいる成熟したユーザ向け
      (Jenkinsなど)
    ・複数のエンジンを統合的に管理
     したい大規模環境向け

  • ・オンプレミス型
    ・シングルユーザ
    ・対象アプリケーション数が少
     数、または同時スキャンが必要
     ない比較的小規模な環境向け

  • ・フルクラウド型
     (内部サーバ向けにローカルエ
     ンジン配置可能)
    ・シンプルにアプリケーションの
     診断・セキュリティテストの
     実施
    ・ DevSecOps/SDLC関連や
     その他機能を実装

豊富な経験と実績、Rapid7の構築は
ジェイズ・コミュニケーションへ

ジェイズ・コミュニケーションは、Rapid7製品の代理店として各社様へ販売、販売支援、導入支援を行っております。 また、豊富な販売実績をもとに、各社様が抱える課題へ向けてアドバイスさせていただいています。お気軽にお問合せください。 また、無償の評価版をご提供いたしております。こちらもお気軽にご依頼ください。

お問合わせ

無償評価版

資料ダウンロード

Rapid7 関連ページ

Rapid7 Top

nexpose/insightVM

metasploit

appspider/insightAppSec

insightIDR