脆弱性診断を
より身近に。
より簡単に。

長年選ばれ続けたVexのノウハウを元に生み出された
Webアプリケーション脆弱性自動検査ツール「VexCloud」。
脆弱性診断をより手軽に、より簡単に、そしてより身近なものにしていきます。
hero-vex-cloud

選ばれる理由

Reason 01

自動巡回でラクラク診断

セキュリティ人材が不足しシステムが複雑化している現在、自動で検査を行い操作も簡単、しかも人に依存せずに使用可能なツールは不可欠です。

「VexCloud」は、機械学習やJavaScript動的解析などの技術により、従来よりも高い巡回・診断性能を実現。
検査用のシナリオ(疑似攻撃リクエスト)も自動生成でき、設定や操作も簡単です。

開発者様やサイト運用担当者様の「気軽に脆弱性診断を行いたい」「開発工程にあわせて随時検査したい」といったニーズにお応えします。
pict-reason01

Reason 02

Vex譲りの検査性能

「VexCloud」は、7年連続マーケットシェアNo.1*のプロツールである「Vex」を、より簡単にご利用いただけるよう開発された脆弱性診断ツールです。

具体的に検査可能な脆弱性の種類は以下のとおり。
  • 不適切なアクセス制御やセキュリティ設定不備
  • SQLインジェクションなどの各種インジェクション系
  • クロスサイトスクリプティング
  • セッション管理や平文通信などの通信に係る脆弱性

簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
* 富士キメラ総研調べ「2022 ネットワークセキュリティビジネス調査総覧」
 (Webアプリケーション脆弱性検査ツール 2021年度実績)
pict-reason02

Reason 03

Webサイト単位で管理も楽々

Webサイトを複数お持ちの場合、管理も大変です。
Webサイトを公開したのはいいものの、セキュリティアップデートなどの管理を行っていなかったり、脆弱性検査を行わずに公開したため重大な脆弱性が放置されていたりするケースも散見されます。

そのようなWebサイトの管理を一気に引き受けるのが「VexCloud」。
お客様の保有するWebサイトを自動巡回し、すべてのWebサイトをリストアップ、それらをWebサイト単位で管理します。
手間をかけずにWebサイトの管理ができ、重大なインシデントを未然に防ぎます。
pict-reason03

logo の特長

logo-vex-cloud の特長

静的サイトだけでなく、従来は自動巡回が難しかったJavaScriptで構築された動的サイトについても、
弊社独自の技術で、自動的にクローリング(巡回)し、診断を実施します。

01
icon-feature01

自動クローラーで
面倒なシナリオ作成が不要!

WebサイトのURLを指定するだけの簡単操作で脆弱性検査が開始できます。
02
icon-feature02

ログイン認証が
必要なサイトも
問題なし!

シンプルでわかりやすいシナリオ作成機能で、ログイン処理も簡単に登録できます。
03
icon-feature03

SPA*にも対応!
*Single Page Application

豊富な脆弱性検査の知見をもとに開発された独自の動的解析で、JavaScriptで構築されたサイトも巡回できます。
動作環境

診断対象

  • インターネット上に公開されているWebサイト

サポートブラウザ

  • Google Chrome
技術サポート

操作方法に対する疑問や問題が起きた際のお問い合わせに対応いたします

問い合わせ方法

  • メールサポート(平日10:00~17:00)
  • サポートサイト

脆弱性カテゴリと
ガイドラインへの対応

脆弱性カテゴリ

  • SQLインジェクション
  • ディレクトリトラバーサル
  • オープンリダイレクト
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • 平文通信
  • HTTPヘッダインジェクション
  • アクセスコントロールの不備
  • 過度な情報漏えい
  • セキュリティ設定の不備
  • レスポンスヘッダの設定不備
  • 安全でないデシリアライゼーション
  • セッション管理不備
  • Cookieの設定不備
  • セッションフィクセーション
  • エンコーディング設定の不備
  • OSコマンドインジェクション
  • サーバサイドリクエストフォージェリ
  • XML外部実体参照
  • 不適切なエラー処理

OWASP TOP10(2021) の以下項目に対応

A01.   アクセス制御の不備
A02.   暗号化の失敗
A03.   インジェクション
A04.   安全が確認されない不安な設計
A05.   セキュリティの設定ミス
A07.   識別と認証の失敗
A08.   ソフトウェアとデータの整合性の不具合
A10.   サーバーサイドリクエストフォージェリ(SSRF)

IPA「安全なウェブサイトの作り方」の
以下項目に対応

  • SQLインジェクション
  • OSコマンドインジェクション
  • パス名パラメータの未チェック/
    ディレクトリトラバーサル
  • セッション不備
  • クロスサイト・スクリプティング
  • CSRF(クロスサイト・リクエスト・フォージェリ)
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • クリックジャッキング
  • アクセス制御や認可制御の欠落

ライセンスについて

必要な機能にあわせて2つの
プランからお選びいただけます
機能 Standard Enterprise
検査パターン 用途に応じたセットを選択可 coming soon
スキャン結果保存期間 180日間
サポート サポートサイト
自動巡回
脆弱性対応管理
ユーザー権限管理
  詳細については
別途お問い合わせください
 

よくある質問

VexCloudはどのようなツールですか?
VexCloudはWebサイト・アプリケーションのセキュリティ検査SaaSです。
Webサイトごとに自動診断による脆弱性スキャンを実施して、結果を管理できます。
認証があるサイト・アプリケーションでも診断できますか?
BASIC認証、ID・パスワードを用いたログインフォームに対応しております。
また、SSOなどの認証連携による認証時も、ログイン操作を記録可能であれば対応できます。
スマートフォンアプリも診断できますか?
スマートフォンアプリの診断は対応しておりません。 VexCloudで対応可能なのはブラウザで操作可能なWEBUIを持ったアプリケーションのみです。
IPアドレスでアクセス制御している環境からの診断は可能ですか?
診断可能です。
VexCloudの通信元IPアドレス(固定)を通信許可IPに追加いただく必要があります。
イントラ環境のシステムへ診断できますか?
イントラネットへの診断には対応しておりません。
クラウドサーバより検査を行いますので、対象サイトへインターネット経由でアクセスできることが条件となります。
サポートには検出脆弱性の精査・修正アドバイザリが含まれますか?
サポートはVexCloudの機能的な操作方法を対象としており、
検知した脆弱性の精査(誤検知判定)や、修正方法のアドバイザリは提供しておりません。

弊社の セキュリティスポットコンサルティングサービス では対応可能です。
ニーズに応じてご提案いたしますので、お気軽にお申し付けください。

セキュリティスポットコンサルティングサービス サービス内容

お問い合わせ