強力なシナリオ作成

Vexは３つのシナリオ作成を提供します。正確な検査の必須条件である「画面遷移の再現性」を考慮しつつ、サイトの性質や規模、検査スキルや検査期間によって最適なシナリオ作成をサポートします。

自動巡回による簡易なシナリオ作成

対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。巡回対象のURLを設定するだけで、サイトに含まれるURLを自動的に収集し、画面遷移を最適化したうえで、シナリオを作成することができます。ログインが必要なサイトも、認証情報とフォームを設定することで、自動でログインして巡回を行うことができます。

画面遷移図を使ったテストシナリオ作成

GUI操作によりテストシナリオを作成する画面遷移図機能を搭載しています。ECサイトで、商品をカートに入れたのち、配送先、支払方法を選択し、最終確認画面を経由した上で、商品を購入するという一連の流れがあるシナリオも、わかりやすく、作成・管理できます。

複雑なテストシナリオにも対応（Handler設定）

Handlerを利用して、リクエストに任意の前後処理や追加検査を設定することが可能です。登録機能と参照機能をまたいで確認する必要のある脆弱性の検出や、一意性制約などのバリデーションを回避しながらの診断等、一般的なツールでは検査が難しい複雑なテストシナリオが実現できます。

高い脆弱性検出

検査対象URLへのアクセス順序をテストシナリオ化すること、パターンマッチングと独自の分析アルゴリズムを併用することにより、高い脆弱性検出率を実現します。

Webアプリケーションの脆弱性を網羅

OWASP TOP10に対応し、Webアプリケーションの一般的な脆弱性を網羅するだけでなく、フレームワーク固有の脆弱性など、独自の検査シグネチャも充実しています。

カスタムシグネチャ

更に発展的な診断のために、ユーザ定義のカスタムシグネチャを作成できます。検査のための送信パターンを作成し、期待するレスポンスを定義することで、任意の脆弱性を検知することが可能です。また、通常のシグネチャと同様に脆弱性カテゴリや、危険度等の定義も可能なので、レポートにも診断結果を反省することができます。

サーバファイル・設定の検査

Webアプリケーションだけでなく、サーバに起因する問題を検出することも可能です。不要なファイルが公開状態になっていないかどうかのチェックや、サーバの設定ミスに由来する脆弱性や、サーバソフトウェアの既知の脆弱性の検査を行います。

豊富でわかりやすいレポート

開発者向けのチェックリストや、サイトオーナー向けの詳細レポートなど、用途に応じて様々なフォーマットでレポートを出力することが可能です。

豊富なレポート出力形式

開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検査結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。また、OWASP TOP10やIPAの「安全なウェブアプリの作り方」チェックシート、PCIDSS等の各種フレームワークに対応し、それぞれのフォーマットに合わせたレポートを出力することができます。

CIツール連携

DecSecOps実現を支援するため、CIツール連携機能やOpenAPI定義ファイルのインポート機能を搭載しています。

国産ツールならではの安心感

国内メーカー製品であるため、国産ツールならではのマルチバイトの文字列の取り扱いに起因する問題とも無縁です。

ライセンスのラインナップ

以下のライセンスが、デベロッパーエディションでの提供になります。デベロッパーエディションとは、「自社開発物の品質確認を目的に自社内でご利用いただくことを前提としたライセンス」です。

詳細につきましては、弊社営業（ss_sales@toyo.co.jp）まで、お気軽にお問い合わせください。

技術的なご質問に関しては、以下までご連絡ください。

※ サポート受付時間：9:30～17:30（土日、祝日を除く）

お問い合わせに際してのお願い：

1. お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
   • ご使用になっているOSの種類とバージョン
   • ご使用になっている製品のバージョン
2. エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
3. 可能な限り、その問題が発生した経緯、再現の手順をお知らせください。