Flatt Securityは、国産脆弱性診断ツール「Shisho Cloud byGMO」において、自動Web脆弱性診断(DAST)機能の提供を8月19日に開始した。
今回、Shisho Cloud byGMOにて提供が開始された自動Web脆弱性診断(DAST)機能は、外部から自動的に模擬攻撃を実施することでWebアプリケーションの脆弱性を検出する機能で、定型的なWeb脆弱性診断をより手頃に、いつでも実施できるので、内製開発やパブリッククラウド活用によって速いサイクルで変化するプロダクトの診断に適している。
同機能では、診断対象となるWebアプリケーションのクラウド内での設置位置もあわせて管理することが可能なほか、Web脆弱性診断の結果とクラウド診断の結果を同時に確認でき、検出された脆弱性情報を元にしたリスク評価がより円滑になる。
診断対象は、診断対象URLやOpenAPIスキーマ、GraphQLスキーマ(今後提供予定)によって指定可能で、パブリッククラウド上の構成情報を元に、直接自動Web脆弱性診断の対象として指定することもできる。また、Webアプリケーション内の診断対象エンドポイントや、テストシナリオを半自動的に作成する自動クローリング機能も用意しており、適切な認証情報を設定したり各画面遷移時のパラメータをチューニングしたりすることで、より自動診断の精度を高められるプロフェッショナル向け機能も備えている。
同機能は、月額2万円台から利用可能で、診断対象Webアプリケーションが動作している環境に対しての自動クラウド診断(CSPM)機能は無料で利用できる。また、自社特有のロジックや認証機能といった、同機能の利用が困難な箇所に限定して手動診断サービスを用いることによって、コストパフォーマンスに優れた脆弱性診断が実現する。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
