ASPIC公式サービス【アスピック】

Securify Scan

Securify Scan

Webアプリケーションの脆弱性診断から対応までのサイクルを、自社でいつでもすぐに簡単に実現するWebアプリケーション脆弱性診断ツール。「手軽」に「何度」でも充実した診断項目で脆弱性診断を実施できます。

CLOSE

資料ダウンロード (無料)

資料ダウンロード (無料)

こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。

一括資料ダウンロード (無料)

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

サービス概要

Securify Scanは、Webアプリケーションの継続的セキュリティを簡単に実現するWebアプリケーション脆弱性診断ツールです

Securify Scanは、Webアプリケーションの継続的セキュリティを簡単に実現するWebアプリケーション脆弱性診断ツールです。シンプルで操作性の高いUIと充実した診断項目、わかりやすいレポートによって、脆弱性対応の継続的なサイクルを生み出します。

外部のセキュリティベンダーに脆弱性診断を依頼した場合、開発後に即座に脆弱性診断をかけて修正対応するというサイクルをみ出しにくい状況です。また、脆弱性診断ツールを自社で運用するとしても設定や運用の難易度が高いことが実情です。脆弱性を放置したことで、重大な問題に発展することも少なくありません。
Securify Scanなら、脆弱性診断から対応までのサイクルを自社でいつでもすぐに簡単に行うことができます。

Securify Scanなら、脆弱性診断から対応までのサイクルを自社でいつでもすぐに簡単に行うことができます

充実した診断項目で、SQLインジェクションやクロスサイトスクリプティング、OSコマンドインジェクションなど、約900項目もの豊富な診断が可能です。

充実した診断項目で、SQLインジェクションやクロスサイトスクリプティング、OSコマンドインジェクションなど、約900項目もの豊富な診断が可能です

アカウント提供時に、利用条件のヒアリングや設定・操作方法の案内などのオンボーディングも充実。利用開始後も、画面に常時表示されるアイコンからサポートに問い合わせ可能。マニュアルやFAQも整備されているため、安心して利用できます。

 

主なポイント

  • 複雑な事前設定は不要!最短3ステップで診断開始!

「①プロジェクト作成」→「②ドメイン所有者の確認」→「③診断対象のURLの登録」の3ステップで診断を開始でき、煩雑な事前設定は不要です。ドメインを登録すると、クローリングによって自動で診断対象抽出します。

複雑な事前設定は不要!最短3ステップで診断開始!

  • シンプルで直感的な操作!使いやすいインターフェース!

現在の診断状況や危険度が一目でわかるダッシュボードや、セキュリティの専門知識がなくても診断を実施・管理できる直感的UIで、誰でも手軽にセキュリティ対策を実施できます。

シンプルで直感的な操作!使いやすいインターフェース!

診断結果をスコアで表示!見える化で脆弱性対策のモチベーションUP

除外や対応済みのトリアージアクションを管理

  • わかりやすい診断結果で継続的なセキュリティ改善へ

診断結果画面では発見された脆弱性の危険度、脆弱性により起こりうる問題、修正方法の例示を日本語で丁寧に解説します。
更に、Slack連携やレポート出力など外部連携も備えており、チーム内外へスムーズに共有し脆弱性対応へとつなげることができます。

わかりやすい診断結果で継続的なセキュリティ改善へ

 

インタビュー

日常的なモニタリングでセキュリティ品質のベースラインを底上げ!簡単3ステップで使えるSaaS型自動脆弱性診断ツール

株式会社スリーシェイク Incubation事業部 Securifyプロダクトマネージャー 鈴木雄大(すずきゆうた)様

株式会社スリーシェイク Incubation事業部 Securifyプロダクトマネージャー
鈴木雄大(すずきゆうた)様

—Securifyはどのようなサービスでしょうか?

自社のプロダクトに対して、手軽に何度でも脆弱性診断の実施を可能にしたSaaS型自動脆弱性診断ツールです。

弊社はもともと、手動の脆弱性診断(マニュアル診断)のサービスを提供しています。そのなかで、開発手法がウォーターフォール型からアジャイル開発へとシフトし、開発の速度とリリースの頻度が高まっていく状況に触れ、コストも時間もかかってしまう従来型の手動診断に限界を感じていました。

更に、セキュリティエンジニアが使用するツールは専門性が高いため、アプリケーションの開発の現場で使えるようになっていませんでした。アプリケーションエンジニアの方が、開発の現場でいつでもスピーディーかつ手軽に診断ができるツールが必要だろうと、Securifyを開発しました。

たとえば、マカフィーのようなウイルスソフトは、インストールするとデバイスの電源が入っている間は常に監視し続けて、何か問題があればアラートをあげてくれますよね。これまでの手動の脆弱性診断は、頻繁に実施することはできませんでしたが、Securifyを使うことで、脆弱性診断を手軽にかつ定常的に実行し、プロダクトのベースラインのセキュリティ品質を担保することができるようになります。Securifyは継続的セキュリティの実現を目指しています。

―サービスの強みを教えてください。

まず、診断の設定及びツールの運用が楽に、簡単にできるというところがSecurifyの最大の強みです。他社サービスの場合、診断を開始するまでに初期設定やシナリオ設定をはじめとした複雑な手順を踏む必要があります。Securifyの場合、【①プロジェクト作成→②ドメイン所有確認→③診断対象のURL設定】という診断開始まで最短3ステップ、わずか数分で診断が開始できます。

診断の設定及びツールの運用が楽に、簡単にできるというところがSecurifyの最大の強み

―シナリオ設定などに時間を要するイメージがありますが、それが不要なのですね。

詳細にシナリオを設定した方が細かく確認できるメリットがありますが、シナリオ設定を楽にする機能を加えたとしても、どうしても設定と運用の負担が大きくなってしまいます。Securifyでは、できるだけ手間をかけずに実行できることが重要と考え、URLを指定しさえすれば、そのURL配下のページを自動で探索して、診断できるようにしています。

―それだと気軽に利用できますね。

もう一点、診断結果のわかりやすさも特長です。スマートなデザインで診断結果が視覚的にわかりやすく表示されるため、お客さまからも「見やすい」「かっこいい」とおっしゃっていただけることが多いです。

スマートなデザインで診断結果が視覚的にわかりやすく表示される

また、セキュリティには詳しくないアプリケーションエンジニアの方でも診断結果が見やすいように、診断結果の表示方法にもこだわりました。私は前職がアプリケーションエンジニアで、手動の脆弱性診断を業者に依頼したことがあります。結果は脆弱性ありとの診断でしたが、私がセキュリティに詳しくないために、何をどう対応すればいいのかわかりませんでした。そういう労苦を、Securifyによって解消していければと思っています。

Securifyは、たとえばSQLインジェクションという脆弱性が発見された場合、それがどんな攻撃手法でどのような影響を及ぼすのかを、修正のサジェスチョンとあわせて診断結果を表示します。そのサジェスチョンでは、修正方法のヒントになるよう、具体的な修正例を記載しています。合わせて危険度もCRITICAL・HIGH・MEDIUM・LOWに、INFO加えた5段階で表示されるため、優先順位を考えて修正を進めることができます。

Securifyは、優先順位を考えて修正を進めることができます

—マッチしやすい業界や企業規模とともに、理想的な使い方を教えてください

業界・規模問わず、自社プロダクト、受託・保守運用を問わず、開発を行っているすべての企業様にご活用いただけるはずです。

アプリケーションエンジニアの方は機能の開発・リリースに主眼を置きがちなため、セキュリティに関しては後回しになりがちです。従来型の手動診断の場合、見積もりをとって診断を依頼し、更にそこから時間がかかるため、開発のスピード感には合いません。アプリケーションエンジニアの方たちが、自分たちでつくったものの脆弱性を、自分たちで手軽に診断できるようになればと思っています。

また、SRE(Site Reliability Engineering)の方にもお使いいただけるでしょうし、プロジェクトマネージャーやシステムを担当している社内情報システムの方も、ダッシュボードで脆弱性の件数をモニタリングして、状況の推移を確認するという使い方が適していると思います。

とはいえ、Securifyが万能というわけではなく、手動の脆弱性診断だからこそできることもあります。Securifyで日常的に診断を行い、ベースラインとしてのセキュリティを担保しながら、監査や大規模改修といった特別なタイミングで年に数回手動診断を行うというハイブリッドな活用方法が理想的だと思います。

業界・規模問わず、自社プロダクト、受託・保守運用を問わず、開発を行っているすべての企業様にご活用いただける

―お客様が導入する決め手になるのはどのようなポイントでしょうか?

セキュリティの専門知識がなくても、簡単に脆弱性診断ができる、というところが大きいように思います。試しに使っていただくと、「デザインがわかりやすく、簡単にできるし、自動でやってくれるので便利」というお声をいただきます。手軽に診断ができるので、お客様によっては、日次や週次で診断を自動でかけておられる方もいらっしゃいます。

—導入時などのサポートは行っていますか?

はい。ご要望があれば診断方法のレクチャーから、Slackやメールで診断結果を受け取る設定までお手伝いさせていただきます。また、利用マニュアルにFAQを含んだものもご提供しています。とにかく簡単であることをコンセプトにしているため、これまでに導入いただいたお客さまからはほとんど質問や問い合わせはなく、基本的には使いこなしていただけているようです。

―導入後に大きな成果が出たお客様の事例があれば教えてください。

自社サービスを展開しているお客様が、積極的にSecurifyをご利用いただいています。お客様のユーザーからは、高いセキュリティを求められますが、手動の脆弱性診断は費用と時間がかさむため、そんなに頻繁には実施できません。

自社サービスとして月1回ペースでサービスをリリースしていく場合、毎回手動の脆弱性診断をかけていたら、多額のお金が飛んでいってしまいます。もっと手軽に、頻繁に脆弱性診断を実施したいということでSecurifyを導入していただき、セキュリティ品質の担保も両立されています。

自社サービスを展開しているお客様が、積極的にSecurifyをご利用いただいています

—今後、注力していきたいことを教えてください。

診断結果の見やすさ・わかりやすさに更に磨きをかけ、追求していきたいのと、Securify本体の診断としての価値を高めていきたいです。

後者については大きく2つあります。ひとつは、診断結果の誤検知や対応済みのステータスを管理できるようにして、「診断→結果確認→対応」のサイクルを一巡できるようにしていきたいです。もうひとつは、診断機能についてで、ユーザー自身が認証処理を記述して、より柔軟に認証設定をできるようにしていきたいです。そうすることでSecurifyの利便性を更に高め、自社で作ったプロダクトを自分たちが定常的に評価し続けていくという考え方を広く浸透させていきたいです。

こちらのインタビューは2022年6月に公開しており、記載されている情報が異なる場合がございます。

 

料金

  • お問い合わせください。

※14日間の無料トライアルあり

 

会社概要

会社名 株式会社スリーシェイク
代表者名 吉田 拓真
所在地 〒160-0015 東京都新宿区大京町22-1 グランファースト新宿御苑3F・4F

 

CLOSE

資料ダウンロード (無料)

資料ダウンロード (無料)

こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。

一括資料ダウンロード (無料)

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

このページの内容をシェアする

  • Facebook
  • Twitter
  • LINE
TOPへ戻る

資料ダウンロードフォーム

1分で簡単登録。無料

入力フォームはこちら

登録済みの方はこちら

パスワード再発行

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

アンケートにご回答ください。

サービスの導入検討状況を教えてください。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提供会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE