株式会社ユービーセキュア(以下「ユービーセキュア」)は、国内市場でシェア1位[i]のWebアプリケーション脆弱性検査ツール「Vex」に新たな機能を追加したバージョン(9.0)を本日、販売開始します。新バージョンでは、検査するWebサイトの構造を可視化し、より直感的に操作できる「シナリオマップ機能」を新たに追加することで、検査を効率よく柔軟に設定できるようになりました。
新バージョンの特長は、以下の通りです。
-
シナリオ作成業務の生産性が向上し、作業時間を従来比で15%削減
Vexでは、検査対象URLごとに記録したリクエスト・レスポンスの情報をメッセージと呼び、メッセージを遷移順に登録することで検査を実施するための「シナリオ」を作成します。新たに追加した「シナリオマップ機能」は、このシナリオを効率的に作成するための機能です。登録したメッセージを一目で判断できるようスクリーンショットがシナリオマップの画面に表示できるようになったほか、メッセージの配置に応じてパラメータの引継ぎが自動的に設定されるようになっています。また、ログの詳細情報の確認やテスト送信もワンクリックで可能になるなど、効率的なシナリオ作成をサポートします(図を参照)。
視覚的な操作性が向上し、登録・設定作業を大幅に簡略化したことにより、結果として、従来の「画面遷移図機能」[ii]に比べて、シナリオ作成にかかる作業時間を15%ほど削減することに成功しました。
図:「シナリオマップ機能」の設定画面のイメージ(ECサイトの会員ログイン画面の例)
-
メッセージごとに柔軟な設定が可能に
上述の「シナリオマップ機能」には、スマートなハンドラー機能を搭載しています。シナリオマップの全てのメッセージに適用される「全体設定」を活用することで、検査設定を一括で行えます。各メッセージ個別の検査設定においても、自動作成された設定の微調整が可能になっています。引継ぎ処理を追加したり、引継ぎ種別を自由に変更したりすることもできるため、設定の柔軟性が大幅に向上しています。
-
新しい検査パターンを追加
OpenID Connect[iii]とMongoDB[iv]について、新しい検査パターンを追加しました。OpenID Connect については、アクセス制御が不適切な場合に発生する、「クロスサイトリクエストフォージェリ」、「リプレイ攻撃」、「alg:noneアタック」の検出に対応しました。MongoDBについては、「不正なデータ参照、認証の回避」および「コード実行」のインジェクション(不正な命令の実行)の脆弱性を検出できるようになりました。
Vexの詳細については、以下のWebサイトをご参照ください。
[i] 国内市場でシェア1位:
富士キメラ総研 2019 ネットワークセキュリティビジネス調査総覧(セキュリティ検査ツール/Web アプリケーション型より2015年度~2018年度実績)に基づく。
[ii] 画面遷移図機能:
検査対象の画面遷移の再現性を実現するためのシナリオ作成機能。実際にアクセスした画面を記録し、検査対象画面の遷移図を作成することで、Webアプリケーションの動作フローをグラフィカルに再現することが可能。
[iii] OpenID Connect:
OAuthを拡張した認証方式の規格の一つで、ユーザーはOpenID Connect対応サイトに登録したID情報を使って、他のOpenID Connect対応サイトにログインすることが可能となり、利便性の向上につながる。
[iv] MongoDB:
データベース機能として、Webアプリケーションによく用いられるソフトウェアの名称。一般的なリレーショナルデータベースとは異なり、SQL以外の方法でデータにアクセスする。
ニュースに関するお問い合わせ
株式会社ユービーセキュア 営業本部 営業推進部
TEL:03-6264-3813 E-mail:mcom@ubsecure.jp
「Vex」に関するお問い合わせは、以下のフォームをご利用ください。
https://www.ubsecure.jp/inquiry
