EN

solution-hero-bg

脆弱性診断をより身近に。より簡単に。

長年選ばれ続けたVexのノウハウを元に生み出された
webアプリケーション脆弱性自動検査ツール「VexCloud」
脆弱性診断をより手軽に、簡単に、そしてより身近なものにしていきます

 

01

「自動巡回・診断」をベースとしたクラウド型DASTツール「VexCloud」

機械学習、JavaScript 動的解析などの技術によって、従来よりも高い巡回・診断性能を実現します。
さらに、SaaS提供のため、構築・運用の手間を省きながら、巡回~検査の作業を自動化することが可能です。

※DAST(Dynamic Application Security Testing)とは、稼働しているアプリケーションに対して、攻撃者の視点を踏まえて疑似的な攻撃(検査)リクエストを送信し、アプリケーションの挙動の変化から脆弱性があるかどうかを判定する検査手法です。

選ばれる理由

02

自動巡回でらくらく診断

セキュリティ人材が不足しシステムが複雑化している現在、自動で検査を行い操作も簡単、しかも人に依存せずに使用可能なツールは不可欠です。

「VexCloud」は、機械学習やJavaScript動的解析などの技術により、従来よりも高い巡回・診断性能を実現。
検査用のシナリオ(疑似攻撃リクエスト)も自動生成でき、設定や操作も簡単です。

開発者様やサイト運用担当者様の「気軽に脆弱性診断を行いたい」「開発工程にあわせて随時検査したい」といったニーズにお応えします。

03

Vex譲りの検査性能

「VexCloud」は、7年連続マーケットシェアNo.1*のプロツールである「Vex」を、より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
具体的に検査可能な脆弱性の種類は以下のとおり。
  • 不適切なアクセス制御やセキュリティ設定不備
  • SQLインジェクションなどの各種インジェクション系
  • クロスサイトスクリプティング
  • セッション管理や平文通信などの通信に係る脆弱性
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
* 富士キメラ総研調べ「2022 ネットワークセキュリティビジネス調査総覧」
 (Webアプリケーション脆弱性検査ツール 2021年度実績)
04

Webサイト単位で管理も楽々

Webサイトを複数お持ちの場合、管理も大変です。
Webサイトを公開したのはいいものの、セキュリティアップデートなどの管理を行っていなかったり、脆弱性検査を行わずに公開したため重大な脆弱性が放置されていたりするケースも散見されます。

そのようなWebサイトの管理を一気に引き受けるのが「VexCloud」
お客様の保有するWebサイトを自動巡回し、すべてのWebサイトをリストアップ、それらをWebサイト単位で管理します。
手間をかけずにWebサイトの管理ができ、重大なインシデントを未然に防ぎます。

VexCloudの特長

静的サイトだけでなく、従来は自動巡回が難しかったJavaScriptで構築された動的サイトについても、弊社独自の技術で、自動的にクローリング(巡回)し、診断を実施します。

icon-feature01

自動クローラーで面倒なシナリオ作成が不要

WebサイトのURLを指定するだけの簡単操作で脆弱性検査が開始できます。

icon-feature02

ログイン認証が必要なサイトも問題なし

シンプルでわかりやすいシナリオ作成機能で、ログイン処理も簡単に登録できます。

icon-feature03

SPA(Single Page Applicationにも対応

豊富な脆弱性検査の知見をもとに開発された独自の動的解析で、JavaScriptで構築されたサイトも巡回できます。

動作環境

診断対象:インターネット上に公開されているWebサイト
サポートブラウザ:Google Chrome

技術サポート 

操作方法に対する疑問や問題が起きた際のお問い合わせに対応します
問い合わせ方法:メールサポート(平日10001700)、サポートサイト

脆弱性カテゴリとガイドラインへの対応

脆弱性カテゴリ
OWASP TOP10(2021) の以下項目に対応
IPA「安全なウェブサイトの作り方」の以下項目に対応
  • SQLインジェクション
  • ディレクトリトラバーサル
  • オープンリダイレクト
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • 平文通信
  • HTTPヘッダインジェクション
  • アクセスコントロールの不備
  • 過度な情報漏えい
  • セキュリティ設定の不備
  • レスポンスヘッダの設定不備
  • 安全でないデシリアライゼーション
  • セッション管理不備
  • Cookieの設定不備
  • セッションフィクセーション
  • エンコーディング設定の不備
  • OSコマンドインジェクション
  • サーバサイドリクエストフォージェリ
  • XML外部実体参照
  • 不適切なエラー処理
  • A01.   アクセス制御の不備
  • A02.   暗号化の失敗
  • A03.   インジェクション
  • A04.   安全が確認されない不安な設計
  • A05.   セキュリティの設定ミス
  • A07.   識別と認証の失敗
  • A08.   ソフトウェアとデータの整合性の不具合
  • A10.   サーバーサイドリクエストフォージェリ(SSRF)
  • SQLインジェクション
  • OSコマンドインジェクション 
  • パス名パラメータの未チェック/ディレクトリトラバーサル
  •  セッション不備 
  • クロスサイト・スクリプティング 
  • CSRF(クロスサイト・リクエスト・フォージェリ) 
  • HTTPヘッダインジェクション 
  • メールヘッダインジェクション 
  • クリックジャッキング 
  • アクセス制御や認可制御の欠落

 

ライセンスについて

必要な機能にあわせて2つのプランからお選びいただけます。詳細については、以下よりお気軽にお問い合わせください。

  Standard Enterprise

検査パターン

用途に応じたセットを選択可 coming soon

スキャン結果保存期間

180日間

サポート

サポートサイト

自動巡回

脆弱性対応管理

ユーザー権限管理

よくある質問

Q. VexCloudはどのようなツールですか?
A.

VexCloudWebサイト・アプリケーションのセキュリティ検査SaaSです。Webサイトごとに自動診断による脆弱性スキャンを実施して、結果を管理できます。

Q. 認証があるサイト・アプリケーションでも診断できますか?
A.

BASIC認証、ID・パスワードを用いたログインフォームに対応しております。また、SSOなどの認証連携による認証時も、ログイン操作を記録可能であれば対応できます。