• 更新日:

Vulnerability Explorer (Vex)

純国産のWebアプリケーション脆弱性検査ツールです。 レポート作成機能をはじめ、日本語サポートが充実しています。Webサイト特性や利用者のスキルに合わせて、自動巡回機能、手動巡回機能、および画面遷移図ベースでわかりやすいシナリオマップ機能の3つを使い分けて診断を行うことが可能です。

目次
  1. Vex概要
  2. Vexの特徴
    1. 強力なシナリオ作成支援
    2. 充実の脆弱性検査機能
    3. テンプレート種類が豊富で、わかりやすいレポート
    4. 柔軟な利用形態
    5. 安心のサポートと充実のトレーニングメニュー
  3. ライセンス形態
  4. FAQ

Vex概要

日本企業の株式会社ユービーセキュアが開発する、純国産のWebアプリケーション脆弱性検査ツールです。
経済産業省のWebアプリ診断の推奨セキュリティツールにも選ばれております。
(出所:経済産業省 情報セキュリティサービスにおける 技術及び品質の確保に資する取組の例示

DAST(Dynamic Application Security Testing)の手法を採用しており、Webサーバの外部から疑似攻撃リクエストを送信し、レスポンスを解析して脆弱性の有無を確認するため、現実的に起こり得る脅威を効率的に見つけ出すことができます。

検査イメージ

Vex検査イメージ

Vexの特徴

Vexは以下の特徴を持ち、自社利用・サービス利用問わず多くのユーザーに利用されています。

  • 強力なシナリオ作成支援
  • 充実の脆弱性検査機能
  • わかりやすいレポート
  • 柔軟な利用形態
  • 安心のサポートと充実のトレーニングメニュー

強力なシナリオ作成支援

3つのシナリオ作成機能(自動巡回機能・手動巡回機能・自動設定と手動設定を組み合わせたシナリオマップ機能)を提供。
正確な検査の必須条件である「画面遷移の再現性」を実現し、サイト特性、検査スキル、実施期間等に応じた最適なシナリオ作成をサポートします。

  • シナリオマップを使った、画面遷移図ベースの検査シナリオ作成
    視覚的に分かりやすい画面遷移図ベースで検査シナリオを作成します。画面をつなぐだけでCookieやワンタイムトークンのようなパラメータを自動で引き継ぐ設定がされるため、複雑な操作は不要です。また、手動でのパラメータ値の変更も簡単に設定することが出来るので、複雑な機能の検査にも対応可能です。Vexシナリオマップ
  • 自動巡回による簡易なシナリオ作成
    巡回に必要なURL情報などを入力するだけで、Webサイトの自動巡回〜検査設定〜画面遷移図の作成までが行われます。
  • 手動巡回により、複雑なテストシナリオにも対応(Handler設定)
    サイトの巡回、検査設定すべてを手動で行う方法です。WebAPIやSPAなど画面遷移図に落としにくい検査対象の場合などに向いています。シナリオマップ同様、パラメータの詳細な設定や複雑な検査シナリオを作ることが可能です。自動巡回で対応出来ないサイトは手動巡回でカバー可能

充実の脆弱性検査機能

Webアプリケーションの一般的な脆弱性を網羅した検査シグネチャを完備。
さらにマルチバイト文字列の取り扱いに起因する脆弱性や、利用頻度の高いフレームワーク固有の脆弱性など、アプリケーションに応じた検査も行えます。

  • 主要なWebアプリケーションの脆弱性だけではなく、サーバ設定周りの不備なども検査可能です
  • 検査シグネチャを選定し案件に合わせた新しいセットの作成や検査パターンを自分でカスタマイズして独自の検査シグネチャも作成可能

テンプレート種類が豊富で、わかりやすいレポート

目的に合わせて使い分けることができる、複数のレポートテンプレートが搭載されており、OWASP TOP10やPCIDSSなどのガイドラインにも対応。
また、国産ならではの「読みやすい日本語レポート」により検査後の対応もスムーズに行えるほか、英語でのレポート出力も可能です。

  • 用途に応じた様々なフォーマットでのレポートを出力できます。
  • 英語でのレポート出力機能により、開発者が海外にいる場合や、報告先が海外などのケースでも活用いただけます。

Vexレポート出力機能

柔軟な利用形態

  • 年間のサブスクリプション契約に追加して、繁忙期や案件が一時的に増えた時などに1か月単位でのライセンス追加も利用可能です。
  • 検査数に上限がないため、検査対象が多い場合やサイト更新頻度が高い場合などでも追加料金等は発生しません。

安心のサポートと充実のトレーニングメニュー

通常の製品メールサポートに加えて、以下の各種教育・支援サービスを、有償で提供しております。製品と同時契約いただく場合、特別割引が適用されます。

  • ツール操作説明会
  • アドバイザリサービス
    通常の製品メールサポートでは対応外となる、実際の検査ログやテスト送信結果などの確認が必要な問合せに対応。
  • Vex ハンズオントレーニング
    以下の4コースがあり、1日で2コース分を実施します。2コース(1日間)または4コース(2日間)のいずれかをご契約いただけます。

    • 基本マスターコース
    • 検査マスターコース- シナリオマップ編
    • 検査マスターコース- シナリオ編
    • 検査マスターコース- シグネチャ編
  • Vex E-ラーニング(30日間受講可能)
    内容は、ハンズオントレーニングと同じ。
  • スタートアップサポート:対象アプリ(1つ)の検査支援
  • プロフェッショナルオンボーディング:Web 会議での運用立ち上げ支援
  • Vexスタートアップパッケージ
    • アドバンストパッケージ:「Vexトレーニング」「スタートアップサポート」「プロフェッショナルオンボーディング」の3つのサービスがセットになったパッケージメニュー
    • スタンダードパッケージ:「スタートアップサポート」「プロフェッショナルオンボーディング」の2つのサービスがセットになったパッケージメニュー

ライセンス形態

  • 大きく分けて、デベロッパーエディションオーディターエディション(当社では販売しておりません)があります。
    1. デベロッパーエディション:自社で開発もしくは、自社で運営するWebアプリケーションの検査にご利用いただく場合のライセンス
      • 自社サイトのリリース前や定期的な検査
      • 開発工程でのセキュリティ検査
      • いつでも、何度でも、回数制限なし
    2. オーディターエディション:Vexを利用した脆弱性診断サービスを、他社に提供する場合のライセンス
      • Vexをビジネス利用可能
      • 報告用レポートなどもワンクリック生成
      • 診断回数やドメイン数などの制限なし
  • デベロッパーエディションの基本パッケージには、ベースライセンスユーザライセンスが1つずつ含まれており、基本パッケージを1つだけ契約いただいた場合、同時に1人だけが検査可能です。同時に2人以上で検査を行う場合は、ユーザライセンスを追加いただくか、または、複数拠点で診断を行う場合は基本パッケージを複数契約いただきます。
  • 基本パッケージには、1ヶ月のライセンスと、1年間のライセンスがあります。
  • 追加のユーザライセンスには、1ヶ月(または3ヶ月/6ヶ月/9ヶ月)のライセンスと、1年間のライセンスがあります。

FAQ

システム要件を教えてください。
Vexを別サーバに移行する方法はありますか
TOP