Vex

脆弱性検査ツール Vex (Vulnerability EXplorer) 

UB-vex
vex-img03

脆弱性診断のためのプロツール
Vulnerability Explorer

Vulnerability Explorer(Vex)は、優れた脆弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。 2007年のリリース以来、弊社診断チームや各セキュリティベンダーからの数千サイトに及ぶ診断実績をフィードバックし、常に進化を続けています。

※ 富士キメラ総研調べ「2020 ネットワークセキュリティビジネス調査総覧」(セキュリティ検査ツール/Webアプリケーション型より 2019年度実績)

※ITR調べ『ITR Market View:サイバー・セキュリティ対策市場2021』Webアプリケーション脆弱性管理市場:ベンダー別売上金額シェアNo.1(2020年度予測)

Vexは多くの企業に利用されています。

Vex 新バージョン(9.0)特設サイトはこちら
Vexの新バージョン(9.0)特設ページへのリンク
多数のセキュリティ専門技術者が認める優れた脆弱性検出率

Vexの検査エンジンは、脆弱性診断経験の豊富なエンジニアにより作成されました。手動診断のノウハウを活かした、独自のアルゴリズムによって高い検出率を実現します。 さらに、多彩なWebアプリケーションへ対応できる柔軟性を特徴とし、多様なリクエストフォーマットや、複数サイト経由での認証やOpenID対応など変化を続ける技術トレンドにも適応しています。

製品紹介およびデモ動画はこちら

Webアプリケーション診断の3ステップ

脆弱性診断は、大きく3つの活動(構成把握、検査、報告/対応)に分かれます。
診断の実務を通じて磨き上げられた使いやすさで、各ステップでの活動を支援します。

01

強力なシナリオ作成支援
3つのシナリオ作成機能(自動巡回・シナリオマップ・Handler)を提供。 正確な検査の必須条件である「画面遷移の再現性」を実現し、サイト特性、検査スキル、実施期間等に応じた最適なシナリオ作成をサポートします。

02

充実の検査機能
Webアプリケーションの一般的な脆弱性を網羅した検査シグネチャを完備。 さらにマルチバイト文字列の取り扱いに起因する脆弱性や、利用頻度の高いフレームワーク固有の脆弱性など、アプリケーションに応じた検査も行えます。

03

わかりやすいレポート
目的別に使い分けることができる複数のレポートテンプレートに対応。 また国産ならではの「読みやすい日本語レポート」により検査後の対応もスムーズに。もちろん英語でのレポート出力も可能です。

「ちゃんと使える」をサポート

ツールの導入効果は、導入後の使いこなしで大きく変わります。
国産ベンダーならではのサポート体制で、導入から運用までの道のりをフォローします。

きめ細かなサポート体制
Vexの操作方法はもとより、検査対象の特徴を踏まえた検査方法についてもサポート。 また開発チームとの連携により、頂いた要望を素早く取り込み、随時機能向上につなげています。
※通常サポートの他に有償でのサポートオプションもございます。詳細についてはお問い合わせください。

初めての導入も安心
使い方はもちろん、高い精度や効率を実現するポイントをきっちり学べるトレーニングや、導入から運用まで一貫してサポートするスタートアップパッケージなど豊富なメニューをご用意しています。

開発も診断も、どこでも頼れるパートナー

セキュリティ診断を行う人やタイミングは様々です。
開発者からQA担当、脆弱性診断士まで、幅広いユーザーの効率的な診断をバックアップします。

安全で高速な
開発サイクルを実現
DevOpsに代表される高速な開発サイクルにおいては、セキュリティ診断が足かせになるケースがあります。Vexを利用すれば、開発者自身が「いつでも」「何度でも」診断が可能となり、さらにCIツールとの連携で、より安全な開発サイクル(DevSecOps)を実現します。

診断現場で鍛えられた
機能性
Vexは脆弱性診断の現場から生まれました。 大量の画面、限られた期間・リソースなど、診断士が直面する課題を解決します。また全リクエスト・レスポンスの保存や、多彩なレポート機能など、診断ベンダーならではの観点を取り入れたプロツールです。

よくある質問

Q1. Vexはどのような検査ツールですか?

Vex (Vulnerability Explorer)はWebアプリケーションのセキュリティ検査ツールです。
VexではWebアプリケーション検査、Server(サーバ)検査の実施機能を提供しています。

Q2. どのような検査項目に対応していますか?

Vex(Ver.9.0.0.0)では、以下の検査を実現します。

検査カテゴリ 参考情報
SQLインジェクション https://cwe.mitre.org/data/definitions/89.html
OSコマンドインジェクション https://cwe.mitre.org/data/definitions/78.html
リモートコード実行 https://cwe.mitre.org/data/definitions/94.html
オープンリダイレクト https://cwe.mitre.org/data/definitions/601.html
HTTPヘッダインジェクション https://cwe.mitre.org/data/definitions/93.html
SSIインジェクション https://cwe.mitre.org/data/definitions/97.html
XPathインジェクション https://cwe.mitre.org/data/definitions/91.html
LDAPインジェクション https://cwe.mitre.org/data/definitions/90.html
XML外部実体参照 https://cwe.mitre.org/data/definitions/611.html
安全でないデシリアライゼーション https://cwe.mitre.org/data/definitions/502.html
ディレクトリトラバーサル https://cwe.mitre.org/data/definitions/23.html
クロスサイトスクリプティング https://cwe.mitre.org/data/definitions/79.html
クロスサイトリクエストフォージェリ https://cwe.mitre.org/data/definitions/352.html
平文通信 https://cwe.mitre.org/data/definitions/319.html
セッションフィクセーション https://cwe.mitre.org/data/definitions/384.html
セッション管理不備 https://cwe.mitre.org/data/definitions/1018.html
過度な情報漏えい https://cwe.mitre.org/data/definitions/200.html
不適切なエラー処理 https://cwe.mitre.org/data/definitions/728.html
サービス運用妨害 https://cwe.mitre.org/data/definitions/400.html
セキュリティ設定の不備 https://cwe.mitre.org/data/definitions/731.html
ファイルおよびディレクトリの漏えい https://cwe.mitre.org/data/definitions/538.html
脆弱性を含む製品の使用 https://cwe.mitre.org/data/definitions/1035.html
不適切なアクセス制御 https://cwe.mitre.org/data/definitions/284.html
NoSQLインジェクション https://cwe.mitre.org/data/definitions/943.html

 

以下のような複雑なWebアプリケーションの検査も可能です。

  • 認証の通過を必要とする機能(ログイン後の会員専用メニューなど)
  • 重複チェックが存在するデータ登録機能(新規登録など)
  • データの削除機能
  • パスワード変更機能
  • 画面遷移を管理しているサイト
  • データ登録機能に対して、入力値が完了画面に表示されず、別画面で参照されるような作りのサイト
Q3. トライアルは可能ですか?

はい、2週間の無料トライアルを実施しております。

以下フォームよりお問い合わせください。担当より、手続きをご案内いたします。
https://www.ubsecure.jp/trial_form

Q4. トライアル版での機能に制限はありますか?

いいえ、機能制限はございません。購入版と同じ機能をご試用いただけます。

Q5. Vexで診断するにはどのくらいの事前知識・経験が必要ですか?

開発・プログラミング経験があるとスムーズに導入いただける傾向にありますが、事前の知識や経験がなくても安心してスタートできる支援サービスをご用意しています。

詳細は、以下リンクよりご確認ください。
https://www.ubsecure.jp/in-house/vex

Q6. 本当にVexを使いこなせるか心配です...スキルの確認方法はありますか?

認定制度によりご自身のスキル可視化と証明が可能です。

詳細は、以下リンクよりご確認ください。
https://www.ubsecure.jp/training/ubsecure-certification

また、認定試験合格者インタビューの記事もぜひご参照ください。
https://www.ubsecure.jp/blog/tag/%E5%8F%97%E9%A8%93%E8%80%85%E3%81%AE%E5%A3%B0

Q7. 最新の脆弱性に対応していますか?

はい、3ヶ月毎の定期アップデートに加え、危険度の高い脆弱性が発表された際には緊急アップデートも提供しています。

Q8. 検査するためにはどのようなスペックのマシンの用意が必要ですか?

業務用のノートPCでもご利用いただけます。
詳細は、こちらのFAQをご参照ください。

Q9. 自社で検査ツールを購入し、内製診断を行うとどのようなメリットがありますか?

自社に診断体制を構築し、セキュリティノウハウを蓄積することで、効率的にリスクコントロールを行うことが可能です。

内製診断体制の構築ステップや、メリットについては、以下記事をご参照ください。
https://www.ubsecure.jp/blog/20210630