■WEBアプリケーションの機能ごとに使い分ける
WEBアプリケーションに対する定期的な診断にVAddyを活用し、新規システムの公開前や主要な機能に対してしっかり診断を行いたい際は、手動診断をおすすめします。
ソリューション
セキュリティサービス
近年増加の一途を辿る、WEBサイトの改ざんや情報漏洩。
当社では、改ざん検知、脆弱性診断、アプリケーションファイアウォール
サービス、SSLサーバ証明書などのWEBサイトに関わるセキュリティ対策サービスのほかに、侵入検知・防御システム(IPS)を提供し、お客様のWEBサイトと社内ネットワークの安全・安心を守ります。
社内に専任の WEBサイト及びシステムの管理者がいらっしゃらないケースでも、安心してご利用いただけます。
WEB脆弱性診断ツール「VAddy」
WEB脆弱性診断ツール(VAddy)とは
VAddyは、SQLインジェクションやクロスサイトスクリプティング(XSS)等のWEBアプリケーション特有の攻撃に対する脆弱性を診断するWEB脆弱性診断ツールです。
WEBサイトを運用中のお客様における定期診断や、開発会社様における納品前チェック等、様々な用途にご利用いただけます。
VAddyの特徴
01
完全月額固定料金!
初期費用も無償
02
最短10分で検査開始!
検査時間も平均12分
03
特別なスキルは不要!
サポート体制も万全
VAddyの機能
VAddyはDynamic Security Application Testing(DAST)による脆弱性診断を行います。お客様のテスト環境のWEBサーバに対してHTTPリクエストを実際に送信し、受け取ったレスポンスデータを検証して脆弱性の有無を判断しています。サーバのOS、ミドルウェア、開発言語に関わらず検査できます。
検査できる環境・アプリケーションの種類
一般的な機能や構成を持つWEBアプリケーションは全て検査可能です。ログイン機能があるアプリケーションでも追加料金はかかりません。
イントラネット内や開発PC上のアプリケーション / フォーム認証(ログイン画面)を含むアプリケーション / 複数のFQDNをまたぐアプリケーション / REST APIサーバ / URLパスに含まれるパラメータ / CSRF対策トークンを含むアプリケーション / SSL上のアプリケーション / IDaaSを利用するアプリケーション /
VAddyの利用シーン
■こんな方々にご利用いただいています
- 情報システム部門
- 開発部門
- 品質管理部門
- インフラ部門
■こんな場面でご利用いただいています
【定期診断】
- 定期的なWEBサイト診断
【納品前診断】
- セキュリティチェックシート対策
- 全ての案件で自主的に診断を実施することをルール化
- 動作確認の「ついでに」脆弱性診断
【開発中診断】
- コミッターの品質管理
- 診断の完全自動化
VAddyの手動脆弱性診断プラン
WEBアプリケーションには脆弱性診断ツールだけでは検知できない脆弱性もあります。VAddyの手動脆弱性診断プランを使えば、お客様の開発サイクルや予算に合わせてよりハイレベルな脆弱性診断を実施することも可能です。
■時期やリリースサイクルごとに使い分ける
定期的な診断はもちろんのこと、機能追加等のリリースサイクルにあわせ診断を実施することで継続的に安全性を維持することができます。
VAddy料金プラン
■月に何度でも脆弱性診断できる定額制
検査項目数や機能に応じ、ご予算にあわせ3種類のプランからご選択いただけます。
Advancedプランは、独立行政法人 情報処理推進機構(以下、IPA)が提唱する「安全なウェブサイトの作り方(チェックリスト)」で紹介されている全ての脆弱性の診断が可能です。
| IPA基準対応全ての機能が使える Advanced |
診断11項目必要最低限の診断を Enterprise |
診断5項目手軽にお試し Professional |
|
|---|---|---|---|
| 月額 | ¥99,800 | ¥59,800 | ¥19,800 |
| 年額 | ¥998,000 | ¥598,000 | ¥198,000 |
| 検査項目数 | 18項目 | 11項目 | 5項目 |
| チーム機能 / メンバー数 1プロジェクトあたり |
無制限 | 無制限 | 50ユーザ |
| 組織管理機能 メンバー数 | 30ユーザ | 30ユーザ | ー |
| スキャン回線 | 無制限 | 無制限 | 無制限 |
| スキャン上限時間 | 8時間/回 | 5時間/回 | 2時間/回 |
| スキャン履歴 | 過去2年分 | 過去2年分 | 過去2年分 |
| 検査同時実行数 | 3/プロジェクト | 3/プロジェクト | 1/プロジェクト |
| ローカル環境への検査 | ◯ | ◯ | ◯ |
| 脆弱性の説明と対応方法 | ◯ | ◯ | ◯ |
| 検査レポート ダウンロード(PDF) |
◯ | ◯ | ◯ |
| 複数検査シナリオへの スキャン一括実行 |
◯ | ー | ー |
| 複数レポート統合機能(PDF) | ◯ | ー | ー |
| CI連携 | ◯ | ◯ | ◯ |
| WEB API | ◯ | ◯ | ◯ |
| 製品サポート | ◯ | ◯ | ◯ |
| 検査可能サイト数 | 3~ ※1 | 3~ ※1 | 3~ ※1 |
※1 FQDN数:4FQDN以上はオプション
※記載の価格は税別となります。
検査項目
※検査項目数はご選択するプランによって変わります。
| 検査項目 | Advanced | Enterprise | Professional |
|---|---|---|---|
| SQLインジェクション | ◯ | ◯ | ◯ |
| クロスサイトスクリプティング | ◯ | ◯ | ◯ |
| コマンドインジェクション | ◯ | ◯ | ◯ |
| リモートファイルインクルージョン | ◯ | ◯ | ◯ |
| ディレクトリトラバーサル | ◯ | ◯ | ◯ |
| ブラインドSQLインジェクション | ◯ | ◯ | |
| HTTPヘッダインジェクション | ◯ | ◯ | |
| XXE(XML External Entity) | ◯ | ◯ | |
| 安全でないデシリアライゼーション | ◯ | ◯ | |
| SSRF | ◯ | ◯ | |
| ⾮公開ファイル検査 | ◯ | ◯ | |
| CSRF検査 | ◯ | ||
| メールヘッダインジェクション検査 | ◯ | ||
| クリックジャッキング検査 | ◯ | ||
| バッファオーバフロー検査 | ◯ | ||
| セッション管理不備の検査 | ◯ | ||
| アクセス・認可制御不備の検査 | ◯ | ||
| Evalインジェクション | ◯ |