VAddy

Web脆弱性検査の課題

リリース直前に行われる従来型の脆弱性検査が、年々短くなるWebアプリケーションのリリースサイクルのボトルネックとなってきています。
特にWebサービスを提供している事業会社においては、月に何度も実施される新機能リリース／修正リリースごとに、外部の専門家による脆弱性診断を行うのは現実的ではありません。

また、セキュリティ人材不足が叫ばれる昨今では、社内にセキュリティ専門チームを確保している企業でも人員の確保が難しく、限られた人数で運用されているセキュリティ部門への負荷が高まる一方です。

そうした中、開発者自身で実施する脆弱性検査（脆弱性検査の内製化）の必要性が高まってきており、VAddyはそうした脆弱性検査の内製化を実現する唯一のツールです。

現場の声から生まれた脆弱性検査ツール

VAddyはWebアプリケーションの開発現場での利用を想定して開発されました。
事前設定・検査実行・レビューの各段階で膨大な時間とスキルを必要とする従来の脆弱性検査ツールとは異なり、VAddyで使われている人工知能の技術が、複雑な設定項目の省略と高速化に成功しました。
セキュリティ検査の経験がない開発者やWebデザイナー／ディレクターでも手軽に検査できます。

もちろんトレーニングは不要です。

最短の検査時間で最大の効果を

VAddyは検査対象を攻撃の発生頻度が高い脆弱性に絞ることで、従来のツールでは数時間〜数日かかっていた検査時間を平均12分程度*1まで短縮することに成功しました。
あえて攻撃の発生頻度が低い脆弱性の検査を除外し、開発現場で日々実施する検査として効率的かつ効果的な検査となるようにしています。
SQLインジェクション、クロスサイトスクリプティング、リモートファイルインクルージョン、コマンドインジェクション、ディレクトリトラバーサルの5つの脆弱性をカバーすることで、実際に観測されている攻撃の87%*2をカバーできます。

*1 フリープランを除いた場合で計測。検査対象サーバー環境やパラメーター数によって上下します。
*2 2017年1月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出

CI連携や定期実行など、お客様の環境に合わせた自動検査環境の構築が可能

VAddyは脆弱性検査の実行と結果の取得を自動化するコマンドツールをご用意しています。
VAddyが提供しているWebAPIキーを利用して、CI（Continuous Integration）と連携した検査の自動実行や、シェルを利用した毎日の定期実行など、お客様の開発サイクルに合わせて検査環境を自由に構築することができます。