VexCloudはどのようなツールですか？

VexCloudはWebサイト・アプリケーションのセキュリティ検査SaaSです。 Webサイトごとに自動診断による脆弱性スキャンを実施して、結果を管理できます。

認証があるサイト・アプリケーションでも診断できますか？

BASIC認証、ID・パスワードを用いたログインフォームに対応しております。また、SSOなどの認証連携による認証時も、ログイン操作を記録可能であれば対応できます。

スマートフォンアプリも診断できますか？

スマートフォンアプリの診断は対応しておりません。 VexCloudで対応可能なのはブラウザで操作可能なWEBUIを持ったアプリケーションのみです。

IPアドレスでアクセス制御している環境からの診断は可能ですか？

診断可能です。 VexCloudの通信元IPアドレス（固定）を通信許可IPに追加いただく必要があります。

イントラ環境のシステムへ診断できますか？

イントラネットへの診断には対応しておりません。クラウドサーバより検査を行いますので、対象サイトへインターネット経由でアクセスできることが条件となります。

サポートには検出脆弱性の精査・修正アドバイザリが含まれますか？

サポートはVexCloudの機能的な操作方法を対象としており、検知した脆弱性の精査（誤検知判定）や、修正方法のアドバイザリは提供しておりません。弊社のセキュリティスポットコンサルティングサービスでは対応可能です。ニーズに応じてご提案いたしますので、お気軽にお申し付けください。セキュリティスポットコンサルティングサービスサービス内容

VexCloud | ユービーセキュア

Reason 01

自動巡回でラクラク診断

セキュリティ人材が不足しシステムが複雑化している現在、自動で検査を行い操作も簡単、しかも人に依存せずに使用可能なツールは不可欠です。

「VexCloud」は、機械学習やJavaScript動的解析などの技術により、従来よりも高い巡回・診断性能を実現。
検査用のシナリオ（疑似攻撃リクエスト）も自動生成でき、設定や操作も簡単です。

開発者様やサイト運用担当者様の「気軽に脆弱性診断を行いたい」「開発工程にあわせて随時検査したい」といったニーズにお応えします。

Reason 02

Vex譲りの検査性能

「VexCloud」は、7年連続マーケットシェアNo.1*のプロツールである「Vex」を、より簡単にご利用いただけるよう開発された脆弱性診断ツールです。

具体的に検査可能な脆弱性の種類は以下のとおり。

不適切なアクセス制御やセキュリティ設定不備
SQLインジェクションなどの各種インジェクション系
クロスサイトスクリプティング
セッション管理や平文通信などの通信に係る脆弱性

簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。

* 富士キメラ総研調べ「2022　ネットワークセキュリティビジネス調査総覧」
　（Webアプリケーション脆弱性検査ツール　2021年度実績）

Reason 03

Webサイト単位で管理も楽々

Webサイトを複数お持ちの場合、管理も大変です。
Webサイトを公開したのはいいものの、セキュリティアップデートなどの管理を行っていなかったり、脆弱性検査を行わずに公開したため重大な脆弱性が放置されていたりするケースも散見されます。

そのようなWebサイトの管理を一気に引き受けるのが「VexCloud」。
お客様の保有するWebサイトを自動巡回し、すべてのWebサイトをリストアップ、それらをWebサイト単位で管理します。
手間をかけずにWebサイトの管理ができ、重大なインシデントを未然に防ぎます。

自動クローラーで
面倒なシナリオ作成が不要！

WebサイトのURLを指定するだけの簡単操作で脆弱性検査が開始できます。

ログイン認証が
必要なサイトも
問題なし！

シンプルでわかりやすいシナリオ作成機能で、ログイン処理も簡単に登録できます。

SPA^*にも対応！
*Single Page Application

豊富な脆弱性検査の知見をもとに開発された独自の動的解析で、JavaScriptで構築されたサイトも巡回できます。

脆弱性カテゴリ

SQLインジェクション
ディレクトリトラバーサル
オープンリダイレクト
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
平文通信
HTTPヘッダインジェクション
アクセスコントロールの不備
過度な情報漏えい
セキュリティ設定の不備
レスポンスヘッダの設定不備
安全でないデシリアライゼーション
セッション管理不備
Cookieの設定不備
セッションフィクセーション
エンコーディング設定の不備
OSコマンドインジェクション
サーバサイドリクエストフォージェリ
XML外部実体参照
不適切なエラー処理

OWASP TOP10(2021) の以下項目に対応

A01.   アクセス制御の不備
A02.   暗号化の失敗
A03.   インジェクション
A04.   安全が確認されない不安な設計
A05.   セキュリティの設定ミス
A07.   識別と認証の失敗
A08.   ソフトウェアとデータの整合性の不具合
A10.   サーバーサイドリクエストフォージェリ(SSRF)

IPA「安全なウェブサイトの作り方」の
以下項目に対応

SQLインジェクション
OSコマンドインジェクション
パス名パラメータの未チェック／
ディレクトリトラバーサル
セッション不備
クロスサイト・スクリプティング
CSRF（クロスサイト・リクエスト・フォージェリ）
HTTPヘッダインジェクション
メールヘッダインジェクション
クリックジャッキング
アクセス制御や認可制御の欠落

機能	Standard	Enterprise
検査パターン	用途に応じたセットを選択可	coming soon
スキャン結果保存期間	180日間
サポート	サポートサイト
自動巡回	◯
脆弱性対応管理	◯
ユーザー権限管理	◯
	詳細については別途お問い合わせください

VexCloudはどのようなツールですか？: VexCloudはWebサイト・アプリケーションのセキュリティ検査SaaSです。
Webサイトごとに自動診断による脆弱性スキャンを実施して、結果を管理できます。

認証があるサイト・アプリケーションでも診断できますか？: BASIC認証、ID・パスワードを用いたログインフォームに対応しております。
また、SSOなどの認証連携による認証時も、ログイン操作を記録可能であれば対応できます。

スマートフォンアプリも診断できますか？: スマートフォンアプリの診断は対応しておりません。 VexCloudで対応可能なのはブラウザで操作可能なWEBUIを持ったアプリケーションのみです。

IPアドレスでアクセス制御している環境からの診断は可能ですか？: 診断可能です。
VexCloudの通信元IPアドレス（固定）を通信許可IPに追加いただく必要があります。

イントラ環境のシステムへ診断できますか？: イントラネットへの診断には対応しておりません。
クラウドサーバより検査を行いますので、対象サイトへインターネット経由でアクセスできることが条件となります。

サポートには検出脆弱性の精査・修正アドバイザリが含まれますか？: サポートはVexCloudの機能的な操作方法を対象としており、
検知した脆弱性の精査（誤検知判定）や、修正方法のアドバイザリは提供しておりません。

弊社のセキュリティスポットコンサルティングサービスでは対応可能です。
ニーズに応じてご提案いたしますので、お気軽にお申し付けください。

セキュリティスポットコンサルティングサービスサービス内容

脆弱性診断を
より身近に。
より簡単に。

選ばれる理由

自動巡回でラクラク診断

Vex譲りの検査性能

Webサイト単位で管理も楽々

の特長

の特長

脆弱性カテゴリと
ガイドラインへの対応

脆弱性カテゴリ

OWASP TOP10(2021) の以下項目に対応

IPA「安全なウェブサイトの作り方」の
以下項目に対応

ライセンスについて

よくある質問

お問い合わせ

脆弱性診断をより身近に。より簡単に。

選ばれる理由

自動巡回でラクラク診断

Vex譲りの検査性能

Webサイト単位で管理も楽々

の特長

の特長

脆弱性カテゴリとガイドラインへの対応

脆弱性カテゴリ

OWASP TOP10(2021) の以下項目に対応

IPA「安全なウェブサイトの作り方」の以下項目に対応

ライセンスについて

よくある質問

お問い合わせ

脆弱性診断を
より身近に。
より簡単に。

脆弱性カテゴリと
ガイドラインへの対応

IPA「安全なウェブサイトの作り方」の
以下項目に対応