Vexの特長

point 01

強力なシナリオ作成支援

「Vex」は、正確な検査の必須条件である「再現性」を考慮し、サイトの特性・規模・検査スキル・工数などにより、高い検出率を実現できる最適なシナリオ作りをサポート。3つのタイプのシナリオ作成機能をご提供しています。

シナリオマップを使ったシナリオ作成

効率良く検査するため一部を手動で設定し、シナリオを作成。ボタンやプルダウンメニューといったGUI操作でテストシナリオを作成する「シナリオマップ機能」を搭載しています。

ショッピングサイト上で、商品をショッピングカートに入れ、配送先を入力。支払方法を選択し、最終確認画面を経由したうえで商品を購入する…といった流れのシナリオも、わかりやすく作成・管理できます。

img01

手動設定をメインとしたHandler機能

Vexにはサイトの巡回、検査設定すべてを手動で行う「Handler機能」を有しています。 WebAPIやSPAなど画面遷移図に落としにくい検査対象が存在する場合などに非常に有効です。 シナリオマップ同様、パラメータの詳細な設定や複雑な検査シナリオを作ることが可能です。

img02

自動巡回で簡単シナリオ作成

検査範囲が広い大規模サイトやコーポレートサイトなどの静的コンテンツに適しているのが、自動巡回でのシナリオ作成です。検査対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。

設定は、巡回対象とするWebサイトのURLを入力するだけと、とても簡単。Webサイトに含まれるURLを自動的に収集し画面遷移を最適化したうえで、シナリオを自動生成します。

ログイン認証が必要なサイトも、認証情報などを設定することで、自動でログインし巡回を行うことが可能です。

img03

Point 02

充実の検査機能

「Vex」の脆弱性検査の精度が高いのは、検査機能が充実しているため。Webアプリケーションの脆弱性を網羅し、サーバに起因する問題の検出も可能です。

Webアプリケーションにおける重大な10のリスク「OWASP TOP10」にも対応。一般的な脆弱性を網羅するのはもちろん、国産ならではのマルチバイト文字(全角文字)に起因する脆弱性診断も行います。

さらに、不審なアクティビティや悪意のあるアクティビティを特定するための定義「シグネチャ」もご提供。推奨の「基本セット」のほか、「網羅用」と「速度重視」の3セットをご用意しています。

バランスの良い「基本シグネチャセット」

幅広い脆弱性カテゴリに対して、厳選した検査パターンを含んだ推奨のシグネチャセットです。
効率と品質のバランスを重視する場合にご利用ください。

img04

より検出精度の高い「網羅用シグネチャセット」

現行シグネチャを全て含んだシグネチャセットです。
同一の脆弱性に対して複数の異なる検査パターンを含むため、検出精度は高くなりますが、重複して検出する可能性や検査総時間が長くなる可能性があります。

img05

導入のしやすい「簡易セット」

一般的な検査パターンのシグネチャのみを含んだシグネチャセットです。
検査時間を短縮し簡易的に検査をしたい場合にご利用ください。

img07

Point 03

豊富な脆弱性検査項目

セキュリティを考慮した安全なWebサイトの作成のため、独立行政法人情報処理推進機構(IPA)は、Webサイト開発者や運営者が実装すべき11項目を示しています。

それらは、情報を改ざん・削除する「SQLインジェクション」やHTMLに悪質なスクリプトを埋め込む「クロスサイト・スクリプティング」などのほか、アクセス制御や認可制御の欠落なども含むもの。

「Vex」はこれらIPAの示す脆弱性を網羅した上で、さらに脆弱性診断の精度を高めるべく、当社診断サービスで培った経験やノウハウから必要と判断する項目を追加しております。
豊富な脆弱性検査項目

point 04

最新の脆弱性への対応

サイバー攻撃を防ぐには、できるだけ早く最新の情報を得、対策を取る必要があります。
「Vex」は、危険度の高い脆弱性が発表された際には緊急アップデートを提供しているため、安心してご利用いただけるツールです。

自社の診断サービス部門やセキュリティベンダーからのフィードバックを受け、必要な機能やシグネチャは随時ツールに組み込み。アップデートプログラムおよび最新の検査用シグネチャは、サポートサイトよりダウンロードが可能です。継続的なセキュリティ品質の維持をサポートしてまいります。
最新の脆弱性への対応

Point 05

定期的な新機能の追加

「Vex」の定期アップデートは、3か月ごとに行っています。最新のバージョンである10.4.0.0ではテストシナリオ作成時に類似のメッセージを自動的にフィルターする機能を追加、カスタムシグネチャのインポートおよびエクスポート機能を追加、シグネチャセットの追加・変更を対応いたしました。

定期アップデートの中には、脆弱性診断を実際に行ったことのある経験者や開発メンバーが、実際のサポート現場から収集した情報を共有したことで、機能追加に至ったものも。
機能向上につなげるフットワークの良さも、Vexサポート体制の特長です。
定期的な新機能の追加

Point 06

充実のレポート機能

開発者向けのチェックリストやサイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、目的や用途に応じたフォーマットでのレポート出力が可能。

IPAの「安全なウェブサイトの作り方」チェックリストに準拠したレポートや、OWASP TOP10 2021に準拠したレポートを出力することもできます。

それぞれのレポートは、日本語と英語で出力可能ですが、純国産ツールのため、海外製品にありがちな読みづらさはありません。レポートは、WordやExcelなどを利用して柔軟に編集することもできます。また全録画機能により、過去ログを振り返って確認することも可能です。
充実のレポート機能

Point 07

導入時から安定期までしっかり支援

「Vex」では、サポート部隊が導入から運用が安定するまでしっかりサポート。トレーニングメニューも取り揃えています。

経験豊かな講師によるトレーニングは、Vexの使い方をイチから学べ、脆弱性診断全般の知識も身につきます。

まとまった時間がとれなかったり、多くの社員に受講させたかったりするのであれば、e-ラーニングがオススメ。実際に操作できるクラウド上のトレーニング環境で、Vexを動かしながら学べます。

さらには、Vexを使った診断の内製化を目指すお客様もトータルサポート。導入から運用までの立ち上げ期間を並走し、手厚くフォローします。

優れた脆弱性検出率でありながら、インターフェースもわかりやすい「Vex」。日常のWebサイト運用に欠かせないツールとなることでしょう。
導入時から安定期までしっかり支援

Point 08

サポートポータルで便利機能を提供

Vexは、導入いただいたお客様向けにWebでサポートページをご用意。カスタマーサクセスを実現するために、さまざまな情報提供を行っています。

 ー製品仕様
 ー運用
 ーWebアプリケーション検査
 ーServer検査
 ーレポート
 ー自動巡回ガイド
 ーシナリオマップガイド
 ーHandlerガイド
 ー画面遷移図ガイド

脆弱診断の現場をよくわかっている開発メンバーも一緒になって考えたサポートメニューです。導入後は、アカウントでログインすることにより、さらに多くのニュースやイベント情報も得られます。
サポートポータルで便利機能を提供

Point 09

Vexクイックスタートマニュアル

Vexのインストール後から、検査準備~検査実行までの基本的な操作方法を記載したマニュアルです。

 

お問い合わせ