東陽テクニカは2022年2月2日、Webアプリケーション脆弱性診断クラウドサービス「AeyeScan」(開発元:エーアイセキュリティラボ)を販売開始した。診断対象のWebサイトのFQDN(完全修飾ドメイン名)をWebブラウザで登録することで脆弱性診断を実施できる。
東陽テクニカの「AeyeScan」は、Webアプリケーションの脆弱性を診断するSaaSである。診断対象のWebサイトのFQDN(完全修飾ドメイン名)をWebブラウザで登録することで脆弱性を診断する(図1)。
図1:Webアプリケーション脆弱性診断サービス「AeyeScan」の概要(出典:東陽テクニカ)拡大画像表示
診断項目は、OWASP Top 10やIPAの「安全なウェブサイトの作り方」など、業界標準のガイドラインに対応している。診断結果として、日本語または英語のレポートを生成する。レポートには、画面遷移図や修正に必要な詳細情報が含まれる。
特徴は、AIとRPAを活用し、脆弱性診断を自動化していること。自動で、Webサイトを巡回し、画面遷移図を生成し、脆弱性を診断する。Webセキュリティの専門知識がなくても脆弱性を診断可能であるため、脆弱性診断の内製化につながる。
サービス提供の背景について同社は、Webアプリケーション脆弱性診断の内製化が求められていることを挙げる。「一般に、Webアプリケーションの脆弱性診断は専門性が求められるため、企業の多くは外部ベンダーに委託する。しかし、ベンダーへの委託案件が急えていることから、診断結果を希望納期に得られずアプリケーションをタイムリーにリリースできないケースが発生している。アプリケーションの複雑化や件数の増加によって脆弱性診断料が増えるといった課題もある」(同社)。
