株式会社ユービーセキュア

Webアプリケーション脆弱性検査ツール「Vex」

NEW

「Vex(Vulnerability Explorer)」は優れた脆弱性検出率を有する、国内売上シェアNo.1の国産Webアプリケーション脆弱性検査ツールです。

優れた検査シナリオ作成機能や検査アルゴリズムなど、製造元が診断サービスで培った経験やノウハウ、ユーザからの報告を反映することで、検査対象のサイトの種類に関係なく、高い脆弱性検出率を実現します。加えて、目的別に使い分けることのできる複数のレポートテンプレートを用意しているため、検査後の対応もスムーズに行うことが可能です。

特長

強力なシナリオ作成

Vexは3つのシナリオ作成を提供します。正確な検査の必須条件である「画面セ遷移の再現性」を考慮しつつ、サイトの性質や規模、検査スキルや検査期間によって最適なシナリオ作成をサポートします。

自動巡回による簡易なシナリオ作成

対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。巡回対象のURLを設定するだけで、サイトに含まれるURLを自動的に収集し、画面遷移を最適化したうえで、シナリオを作成することができます。ログインが必要なサイトも、認証情報とフォームを設定することで、自動でログインして巡回を行うことができます。

>> 自動巡回による簡易なシナリオ作成 <<

画面遷移図を使ったテストシナリオ作成

GUI操作によりテストシナリオを作成する画面遷移図機能を搭載しています。ECサイトで、商品をカートに入れたのち、配送先、支払方法を選択し、最終確認画面を経由した上で、商品を購入するという一連の流れがあるシナリオも、わかりやすく、作成・管理できます。

>> 画面遷移図を使ったテストシナリオ作成 <<

複雑なテストシナリオにも対応(Handler設定)

Handlerを利用して、リクエストに任意の前後処理や追加検査を設定することが可能です。登録機能と参照機能をまたいで確認する必要のある脆弱性の検出や、一意性制約などのバリデーションを回避しながらの診断等、一般的なツールでは検査が難しい複雑なテストシナリオが実現できます。

>> 複雑なテストシナリオにも対応(Handler設定) <<

高い脆弱性検出

検査対象URLへのアクセス順序をテストシナリオ化すること、パターンマッチングと独自の分析アルゴリズムを併用することにより、高い脆弱性検出率を実現します。

Webアプリケーションの脆弱性を網羅

OWASP TOP10に対応し、Webアプリケーションの一般的な脆弱性を網羅するだけでなく、フレームワーク固有の脆弱性など、独自の検査シグネチャも充実しています。

>> Webアプリケーションの脆弱性を網羅 <<

カスタムシグネチャ

更に発展的な診断のために、ユーザ定義のカスタムシグネチャを作成できます。検査のための送信パターンを作成し、期待するレスポンスを定義することで、任意の脆弱性を検知することが可能です。また、通常のシグネチャと同様に脆弱性カテゴリや、危険度等の定義も可能なので、レポートにも診断結果を反省することができます。

>> カスタムシグネチャ <<

サーバファイル・設定の検査

Webアプリケーションだけでなく、サーバに起因する問題を検出することも可能です。不要なファイルが公開状態になっていないかどうかのチェックや、サーバの設定ミスに由来する脆弱性や、サーバソフトウェアの既知の脆弱性の検査を行います。

>> サーバファイル・設定の検査 <<

豊富でわかりやすいレポート

開発者向けのチェックリストや、サイトオーナー向けの詳細レポートなど、用途に応じて様々なフォーマットでレポートを出力することが可能です。

豊富なレポート出力形式

開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検査結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。また、OWASP TOP10やIPAの「安全なウェブアプリの作り方」チェックシート、PCIDSS等の各種フレームワークに対応し、それぞれのフォーマットに合わせたレポートを出力することができます。

>> 豊富なレポート出力形式 <<

CIツール連携

DecSecOps実現を支援するため、CIツール連携機能やOpenAPI定義ファイルのインポート機能を搭載しています。

国産ツールならではの安心感

国内メーカー製品であるため、国産ツールならではのマルチバイトの文字列の取り扱いに起因する問題とも無縁です。

Vexライセンス

ライセンスのラインナップ

以下のライセンスが、デベロッパーエディションでの提供になります。デベロッパーエディションとは、「自社開発物の品質確認を目的に自社内でご利用いただくことを前提としたライセンス」です。

詳細につきましては、弊社営業(ss_sales@toyo.co.jp)まで、お気軽にお問い合わせください。

種類 内容/備考
初年度パッケージ
  • Vexサーバソフトウェア
    - ベースライセンス×1
    - ユーザライセンス(12カ月利用権)×1
  • ユーザーマニュアル
  • 保守・サポート
    - E-mailによる技術サポート
    - 検査シグネチャの提供(定期:3ヵ月に1度、緊急:不定期)
    - 保守(マイナーバージョンアップ版または修正プログラムの提供)

※ユーザーライセンスは、ベースライセンスに紐づいて発行されます。

次年度更新パッケージ ※次年度以降のパッケージ更新料は、Vexサーバ台数分発生します。
追加パッケージ初年度 ※Vexサーバを複数構築する場合には、1台追加につき1つ必要となります。年次の途中で2台目以降を購入される場合には、月割計算での請求となり、有効期間の終了日は1代目のライセンスと同様になります。
追加ユーザライセンス(12カ月) ※次年度以降のパッケージ更新料は、Vexサーバ台数分発生します。
追加ユーザライセンス(6カ月) ※次年度以降のパッケージ更新料は、Vexサーバ台数分発生します。
追加ユーザライセンス(3カ月) ※次年度以降のパッケージ更新料は、Vexサーバ台数分発生します。
追加ユーザライセンス(1カ月) ※次年度以降のパッケージ更新料は、Vexサーバ台数分発生します。
Android 静的解析オプション ※基本パッケージの契約が必要です。