AI スキャン診断サービスは、AI(人工知能)+ RPA(プロセス自動化) を活用した高精度な専用ツールを用いた Web サイトへの脆弱性スキャンを実施するサービスです。
スキャンを通じ Web アプリケーションやシステムに内在する脆弱性を明らかにし、適切な対策方法をご提示します。
サイバートラストが提供している「脆弱性診断サービス」は、専門の診断員が手動でシステムを診断する高水準なサービスですが、診断員が手動で診断を行うため、診断規模に応じて時間や工数がかかります。
一方、従来までの脆弱性スキャン製品では、フォームへの入力を自動で行えない、認証ページを超えられない、などの基本的な部分の制限により、十分な診断が行えないという課題もありました。
本サービス「AI スキャン診断サービス」は、熟練の診断員が診断対象を見極め、クローリング(診断のための巡回)ロジックを設定した上で、AI ツールが高速かつ高精度で診断を行う、ハイブリッドタイプの新診断メニューです。
専用ツールでサイトの分析を行った上で、専門の診断員が対象選定を行います。
ツールだけでは実現できない高精度なクロールを実現します。
検出精度を維持しながら、多くの自動化により短納期とコスト低減を実現しました。
小規模(~50 リクエスト)の診断であれば、3 日程度で診断が完了致します。診断結果は PDF 形式のレポートにまとめられメールでお届けいたします。
AI スキャン診断サービスは、国際的・標準的なガイドライン・チェックリストに基づき診断を行います。
OWASP(Open Web Application Security Project)は、Web アプリケーションセキュリティに特化した非営利組織です。セキュアなソフトウェア開発を促進する情報共有を行いセキュリティリスクを抑えるガイダンスを提供しています。
経済産業省の IT 政策実施機関である独立行政法人情報処理推進機構(IPA)は、脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するためのガイドラインおよびチェックリストを開示しています。
AI スキャン診断サービス 特別対談
エーアイセキュリティラボ 執行役員 関根鉄平様と、サイバートラストの脆弱性診断サービスを担当するセキュリティマネジメント部部長 宮坂裕大に、AI スキャン診断サービスについてお話を伺いました。
| 項目 | 他社製品 | AIスキャン診断サービス | ||
|---|---|---|---|---|
| 診断項目 | OWASP TOP10 など代表的な診断項目 | DomBasedXSS、メールサーバを利用したメールヘッダーインジェクションにも対応 | ||
| アクセス制御の診断 | アクセス制御の不備など、なりすましの問題の診断が可能 | |||
| 認証機能の診断 | アカウントロック機能の有無など認証に特化した診断が可能 | |||
| CMS の診断 | プラグインを含む CMS の問題の診断が可能 | |||
| リンク切れ(404)・混合コンテンツ検出 | 正常系の動作確認が可能 | |||
| レポート機能 | リスク評価方法 | CVSS の詳細なスコアを表示 | ||
| OWASP、IPA への準拠性 | OWASP、IPA など主要なガイドラインに準拠 | |||
| 経営層向けレポート | 診断結果を画面毎に反映した画面遷移図 | |||
| 開発者・サイト運営者向けレポート | 画面キャプチャを用いた画面遷移図・ディレクトリマップ提供 | |||
| 言語 | 日本語・英語に対応 | |||
サイバートラストでは専門の診断員がマニュアル(手動)で診断を行う、「脆弱性診断サービス」も提供しております。「脆弱性診断サービス」と「AI スキャン診断サービス」のどちらを選ぶのがおすすめか、お客様のご要望ケースでまとめました。
| 比較項目 | AI スキャン診断サービス | Web アプリケーション診断 |
|---|---|---|
| 診断の深さ | ツールで検出可能な診断項目のみ | 権限昇格やパラメータ改ざんをはじめとしたツールでは実施できない手動診断でのみ検出が可能な診断項目など、複雑なサイトに対する診断が可能 |
| 対象の規模 | 小規模~大規模サイトなど規模を問わず迅速に対応が可能 | 中規模以上は比例して診断日数を要する |
| 診断期間 | 最短 3 営業日 | 最短 7 営業日 |
| コスト | 大規模であっても低価格 | ボリュームに応じたコスト感 |
| 診断レポート | 視覚的で分かりやすい報告 | 経営者向けと技術者向けの2種類を提供、技術者向けでは詳細な再現例など具体的な事象を報告 |
| 再診断 ※1 | なし | オプションサービスあり |
| 報告会 ※2 | なし | オプションサービスあり |
| おすすめ利用ケース |
|
|
対象リクエスト数
(コミット処理 ※:2 ~ 3 リクエスト)
想定対象
診断日数(最短)
対象リクエスト数
想定対象
診断日数(最短)
対象リクエスト数
想定対象
診断日数(最短)
STEP.1
専用ツールでサイトの分析を行った上で、エンジニアが対象選定を行います。
STEP.2
診断対象リストとお見積もり内容、スケジュール等について合意頂けましたら、脆弱性スキャンを実施いたします ※1。
STEP.3
スキャンが完了し次第、レポートを作成しメールにて送付させて頂きます。※2
検出された内容をグラフ化し、Webサイト全体のリスク値を可視化します。経営層など、要点をまとめた説明が必要な場合にご活用ください。
OWASP TOP 10、IPA 安全なウェブサイトの作り方、OWASP ASVS 4.0 レベル 1 における検出状況を一覧化いたします。
検出された脆弱性の問題点を把握して頂くと共に、対策方法をご提示致します。脆弱性の改修時にご活用ください。
メールアドレスをご登録いただく事で、スキャンレポートのサンプル PDF をダウンロードいただけます。下のフォームにメールアドレスをご記入の上送信ください。
※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。
