ITコンサルティング/SIサービスベンダーのアクロネットは、クラウド型自動脆弱性診断ツール「Securify Scan」(開発元:スリーシェイク)を販売する。診断対象のURLを登録することでセキュリティ脆弱性の診断を行う。開発やリリースのスピードを停滞させることなく社内で診断を実施できるとしている。スリーシェイクが2022年9月22日に発表した。
アクロネットが販売を開始する「Securify Scan」は、スリーシェイクが開発・提供するクラウド型自動脆弱性診断ツールである。診断対象のURLを登録することでセキュリティ脆弱性の診断を行う。開発やリリースのスピードを停滞させることなく社内で診断を実施できるとしている(画面1)。
拡大画像表示
診断対象のURLを起点に、クローリングによって、自動で診断対象のエンドポイントを抽出する。認証情報を登録することで、認証が必要なWebアプリケーションの診断も可能である。その際、テスト実行ツールの「Selenium」やJavaScriptを用いてパスワードなどの認証情報を入力する仕組み。スケジュールを設定して定期的に診断を実行する機能も備えている。
GUIダッシュボードで、診断結果のスコア表示、発見した脆弱性の推移など、現在のステータスを提示。セキュリティレベルを可視化して改善へのモチベーションにつなげる。脆弱性と判断した根拠となるリクエスト/レスポンス、脆弱性の概要、該当箇所の修正方法、トリアージに必要な情報などの詳細情報も確認できる。また、検出した脆弱性をSlackやTeams、メールで通知する運用に対応する。
「外部のセキュリティベンダーに脆弱性診断を依頼した場合、開発後に即座に脆弱性診断を行って修正対応するというサイクルを生み出しにくい。また、脆弱性診断ツールを自社で運用する場合、設定や運用が難しいという問題がある」(アクロネット)。
Securify Scanで診断する項目の例を挙げている。
- SQLインジェクション
- クロスサイト・スクリプティング(XSS)
- OSコマンドインジェクション
- クロスサイトリクエストフォージェリ(CSRF)
- CRLFインジェクション
- パストラバーサル
- クリックジャッキング
- CORSの設定不備
- Hostヘッダインジェクション
- 混在コンテンツ
- プライベートIPの公開
- 相対パスインポート
- 脆弱なJavaScriptライブラリの使用
- オープンリダイレクト
- ポートスキャン