Vex/VexCloud
Webアプリケーション脆弱性検査・診断ツール
・数千サイトに及ぶ診断実績
・国産ツールならではの充実したサポート
・高い脆弱性検出率を実現する多様なシナリオ作成
Vex/VexCloudは国内での導入実績が豊富な純国産「Webアプリケーション脆弱性検査ツール」です
Vex/VexCloudは、高い脆弱性検出率と優れた利便性からWebアプリケーションの定期的な品質管理のみでなく、開発工程におけるテストでもご利用いただけます。
SaaSで提供しているVexCloudは、Vexのノウハウを活かしつつより手軽で簡単な診断を実現します。
Vex/VexCloudでWebアプリやサイトの脆弱性診断を内製化!何度でも利用できるので、リリースの度に診断が可能
Vex/VexCloud(ベックス/ベックスクラウド)を導入することで脆弱性診断を自社で行うことができます。
外部ベンダに脆弱性診断を依頼する場合、診断毎に費用と時間が発生するため、サービス等のリリース毎に診断することが難しくなります。
脆弱性診断を内製化することでコスト(費用、時間)を抑え、定期的な脆弱性診断を行うことが可能です。さらに内製化のメリットとして、開発者が診断実施者ともなることでセキュリティ対策の知識が蓄積される点があります。知識の蓄積により、開発段階から脆弱性の残るサイトやWebアプリケーションを作らないことを意識することができます。
また、初めてご利用いただく方でも、利用方法の解説はもちろん、高い精度や効率を実現するトレーニング、運用までをサポートするメニューをご用意していますのでご安心ください。
Features
Vex/VexCloudの4つの特長
01|高い脆弱性検出率
複数のシナリオ作成機能で複雑なシステムでも脆弱性を検出
Vex/VexCloudは高い検出率を実現するための機能を複数提供しています。Webアプリケーションだけではなく、大規模なECサイト、ログイン認証のある会員サイト、JavaScriptやAjaxで遷移先をスクリプトにて制御するサイトなど、複雑なサイトにも活用が可能です。
WordPressなどのCMSで構築しているサイトにも脆弱性対策としてご活用いただけます
コーポレートサイトやオウンドメディアを構築・運用する際、WordPressなどのCMSを活用する場面が多くなっています。Vex/VexCloudではCMSで構築されているサイトにも対応しているので、CMSのプラグイン以外にも脆弱性対策を検討されている方におすすめです。
02|最新の脆弱性への対応
他社セキュリティベンダやユーザからの報告をVexに反映
Vex/VexCloudは約3か月に1回の定期アップデートに加え、緊急性の高い脆弱性には緊急アップデートを行い迅速に対応します。実績として、脆弱性情報の公開から1~5営業日で緊急リリースを行ったケースがあります。
VexCloudは2週間ごとのリリースに加え、Vex同様に緊急性の高い脆弱性を発見した場合は緊急アップデートを行います。
03|多様な脆弱性診断の項目
診断項目は定期的にアップデート
SQLインジェクション、OSコマンドインジェクション、パラメータ操作、バッファーオーバーフロー、クロスサイトスクリプティング、プロトコルの不適切な使用、セキュア属性のないCookie、不要なエラーメッセージ、不要なファイル、サーバ設定のミス、既知の脆弱性、セカンドオーダーアタック、クロスサイトリクエストフォージェリー、セッション管理に関する問題などの診断項目に加え、セキュリティベンダからのフィードバックを取り入れ定期的に更新しています。
一部VexCloudでは対応していない診断項目がございます
DASTを実現しセキュリティの脅威を見つけ出す
DAST(Dynamic Application Security Testing)とは、アプリケーションのセキュリティ テストを動的に行うことです。
Webサーバ外から疑似攻撃のリクエストを送信し、レスポンスを解析して脆弱性の有無を確認することで、現実的に起こり得る脅威を効率的に見つけ出すことができます。
04|脆弱性診断後のレポート
用途に応じたレポート出力が可能
検査するWebサイトの構成を把握するために、ページ遷移図を自動作成し、適切な遷移が行われているかチェックすることができます。
また、レポートはカスタマイズ出力が可能で、検出した脆弱性による被害を素早く把握するためのスクリーンショットを含めた様式や、アプリケーション、パラメータに対してどのような検査を実施したかをチェックリスト様式で出力する等、内容に応じた様式で作成することが可能です。
※VexCloudはHTML形式で出力
Function
主な機能(Vex)
高い脆弱性検出率を実現するシナリオ作成
Vexは検査対象の画面遷移の再現性を実現するため、自動巡回、シナリオマップ、Handlerを利用した3つのシナリオ作成機能があります。複雑なWebアプリケーションやサイトでも高い検出結果を得られます。
Webブラウザからの操作が可能
Webブラウザから操作を行なうことで、インターネットやイントラネットを介した検査が可能です。いつ、誰が、どのようなイベント(検査の実行、報告書の出力等)を行なったかを一元的に管理することができます。
CIツールとの連携機能
開発サイクルにVexとCIツールを連携することで、リリースのタイミングからセキュリティが担保されたWebアプリケーションとサイト構築が実現可能です。
Function
主な機能(VexCloud)
強力な自動巡回機能(*SPA含む)
*SPA...Single Page Application
豊富な脆弱性検査の知見を活かして、従来は自動巡回が難しかった、JavaScript による動的サイトのクローリングを実現。
診断結果の一元管理や対策状況の可視化
管理画面においてWebサイト単位で診断結果を一覧化でき、診断結果や実施状況を可視化できるダッシュボード機能を実装しております。
Vexとの連携が可能
Vexの検査結果連携ファイルをVexCloud上にアップロードするだけで、自動的に検査情報が集約されます。また、脆弱性の修正状況などのステータス管理も可能になります。
Vex/VexCloudの相違点
| Vex | VexCloud | |
| 提供形態 | オンプレミス | SaaS |
| サーバの構築 | 必要(動作環境はこちら) | 不要 |
|
スキャン回数 |
無制限 | 無制限 |
| 診断方法 |
サイトの性質に応じて使い分け可能 ・自動巡回 ・画面遷移図 ・手動診断 |
高精度・高性能な自動巡回を中心に診断 |
| 診断レポート |
目的や利用者に合わせたレポートの出力が可能 ・WordやExcelなど ・OWASP TOP10やPCIDSS、ASVSなどのガイドラインにも対応 |
検知結果レポートの出力が可能 |
| 想定利用シーン |
サイトに対して深く検査を実施し、品質の高い診断を行う <おすすめケース> ・リリース前の品質チェック ・他社開発物の受け入れ時の脆弱性チェック |
簡単に主要な脆弱性の診断を行う ※大量のサイトの管理も可能 <おすすめケース> ・定期診断 ・小さな改修時 |
| ライセンス体系 |
ユーザ数単位 ※Vexを利用するユーザアカウント数 |
診断対象サイト数単位 |
Vex/VexCloudを活用したWebアプリケーション診断の3ステップ
脆弱性診断における構成把握、検査、報告/対応の3ステップで活動をサポート
①構成把握|サイト特性に応じたシナリオ作成機能
Vexは自動巡回、シナリオマップ、Handlerの3つのシナリオ作成機能から、サイト特性に応じた最適なシナリオ作成をサポートします。VexCloudでは、高精度・高性能な自動巡回機能で負担なくシナリオ作成が可能です。
②検査|充実の検査機能
Webアプリケーションの一般的な脆弱性を網羅した検査シグネチャを完備しています。また、国産ツールならではの全角文字(マルチバイト文字)が要因となる脆弱性や、フレームワーク特有の脆弱性なども検査対象となります。
③報告/対応|わかりやすいレポート
目的別に応じた複数のレポート様式を提供しています。 開発チーム向けの診断結果やWebアプリケーション、サイトオーナー向けの様式などのフォーマットで出力が可能です。
純国産ツールならではのサポート体制
Vex/VexCloudは国産ツールならではのサポートが充実しています。
初めてご利用頂く方へ導入支援、導入後のサポート、製品トレーニング(有償)を提供しているので、
脆弱性診断の知識やプログラミングスキルがなくとも活用いただくことが可能です。
導入前の相談から運用後のサポートまで一気通貫でご支援します。
動作環境(Vex)
| OS | Windows® operating system ※ |
| CPU | CPU 1GHz 以上(2GHz以上 推奨) |
| メモリ | 2GB 以上(4GB以上 推奨) |
| HDD | 50GB 以上(300GB以上 推奨) |
| ソフトウェア | JDK(Java Development Kit) Internet Explorer®(Internet Explorer 11 推奨) Mozilla Firefox(最新版 推奨) Apache Tomcat PostgreSQL Microsoft® .NET Framework |
※日本語版、英語版OSのみの対応となります。64ビットのみサポートしています。
詳細なサポートOSについてはお問合せください。
動作環境(VexCloud)
| サポートブラウザ | Google Chrome |
Vex/VexCloudの導入支援サービス
エンジニアによる導入支援サービスを、お客様のご要望に応じてご提案しています。
また、Vex/VexCloudを導入する前には評価版のご利用も可能です。
ご希望の方は以下の導入相談・デモでお申し付けください。
FAQ
Vex/VexCloudのよくある質問
- Vex/VexCloudで脆弱性診断をするには、どのくらいの事前知識、経験が必要ですか?
- 開発、プログラミング経験があるとスムーズに導入いただけますが、事前の知識や経験がなくても安心してスタートできる支援サービスをご用意しています。
- 導入前に評価版の利用(PoC)は可能ですか?
- 可能です。ご希望の方は問合せフォームからご連絡ください。
- 評価版での機能制限はありますか?
- 機能制限はなく、製品版と同様の機能をご利用いただけます。
情報セキュリティへの取り組み
当社は情報セキュリティマネジメントシステムの適合性評価制度であるJIS Q 27001:2023(ISO/IEC 27001:2022)の認証を情報マネジメントシステム認定センター(ISMS-AC)認定下のSGSから取得しています。
・登録組織:株式会社インテリジェントウェイブ セキュリティイノベーション本部 CWAT製品企画部 / セキュリティソリューション部
・認証登録番号:JP23/00000154