セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。
こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
VAddyは、セキュリティの知識がない方でも今日から手軽に脆弱性検査を行うことのできるクラウド型Webアプリケーション脆弱性診断ツールです。
一般的に脆弱性診断ツールは、事前設定・検査実行・レビューの各段階で膨大な時間とスキルを必要としますが、VAddyは人工知能の技術を活用することで、複雑な設定項目の省略を実現。利用は簡単で、以下の3ステップのみ。「専門知識がない」「セキュリティ診断の経験がない」という方でも手軽に脆弱性診断を行うことができます。
ステップ1:アカウントを作成。利用中のWebブラウザから手軽に脆弱性検査がはじめられます。
ステップ2:スキャンボタンをクリック。スキャンサーバーは対象アプリケーションに検査リクエストを送信して脆弱性の有無を判別。
ステップ3:レポート。脆弱性が発見されたら修正して再スキャン。Web-APIを使えば検査を定期・自動実行することも可能。
一般的な機能や構成を持つWebアプリケーションはすべて検査可能。ログイン機能があるアプリケーションでも追加料金はかかりません。
一つの契約で3つのFQDN(ドメイン)を検査対象として登録でき、更にそれらのサーバーに検査を実行するユーザーを無料で紐付けることもできます。
VAddyの開発・運用を行っているのは、2010年より12年連続、国内SaaS型WAF市場においてシェアNo.1(※)を獲得している同社のクラウド型WAF「Scutum」の開発/運用チーム。長年のWAFの運用経験で培われた技術・知見がVAddyにも投入されています。
※富士キメラ総研刊「2022ネットワークセキュリティビジネス調査総覧」、株式会社アイ・ティ・アール「ITR Market View: サイバー・セキュリティ対策2022」より
利用開始までの手順をより詳細に解説した「スタートアップガイド」、日々アップデートされるFAQやおすすめの利用方法など有用な情報を掲載した「サポートサイト」、その他、緊急度や質問内容に応じて、複数のサポート窓口を用意しています。たとえば、操作中に困った時Webサイト画面上の「チャットサポート」に質問すれば、サポートスタッフが5分以内を目標にスピード対応。また、操作の説明、契約のご相談、デモなど、お客様の相談内容に合わせた「個別相談会」も実施しています。
料金は「検査一回につきいくら」ではなく、月額固定のため、何度も脆弱性診断を実施可能。また、企業の利用シーンに合わせて様々な料金プランを用意しているため、無駄なく利用できるのもポイントです。
「万全を期してすべての項目を確認したい」→Enterpriseプラン(診断11項目)
「必要最低限の診断ができればいい」→Professionalプラン(診断5項目)
「まずはお気軽にお試ししたい」→Starterプラン(診断2項目)
月額契約の場合、1カ月単位でのアップグレード/ダウングレードが可能。また、「診断を実施するタイミングだけ契約する」という使い方も可能です。
誰でも簡単。その日から使える。脆弱性診断をもっと多くの方に
株式会社ビットフォレスト 取締役 西野 勝也様(左) 取締役 CTO 市川 快様(右)
―VAddyは、どのようなツールですか?
Webサービスの構造を調べてセキュリティの弱い部分を見つけ出す、クラウド型の脆弱性診断ツールです。
開発の経緯は、私たちがWeb開発事業に携わっていた2010年頃にさかのぼります。開発工程で脆弱性を漏れなく診断できるツールが欲しいと考えていたものの、当時、市場に出回っていたツールの多くはどれも高額で、とても開発費用に見合うとは思えませんでした。
また、開発現場は短い周期でサービスリリースを求められる場合が多いにもかかわらず、診断の事前設定に膨大な時間がかかったり、セキュリティエンジニアなど専門知識を持った人でしか使いこなせなかったりして、使い勝手に課題を感じるものばかりでした。
そこで、既存のツールで対応できないなら「自分たちで手軽に利用できる脆弱性診断ツールを作ればいい」ということになり、2014年からVAddyの開発に乗り出したわけです。
―開発に当たっては、どのような点にこだわったのでしょうか?
「設定ゼロ」で、誰でもすぐに使える自動化ツールです。
たとえば、セキュリティエンジニアが既存のツールで脆弱性診断を行う場合、アプリケーションの特徴や画面構成などを把握して、それに合わせた設定を行う必要があります。なので、通常は事前にセキュリティエンジニア(診断会社)から開発側へのヒアリングが行われます。
VAddyでは、こういった診断の専門家でしかできなかったような作業を補完するために、AI(人工知能)を搭載。いわゆる「設定」と呼ぶような作業をゼロにして最低限の操作だけでの脆弱性診断を実現しました。たとえば検査の途中でセッションが切れてログアウトしてしまった場合でも、それを検知した検査サーバーが自動的にログインし直して検査を継続するといった動きをします。従来では人がセッション切れを判別してログインし直して検査を続ける必要がありましたが、VAddyではこのような判断の多くを機械ができるようにしていきました。
また、日々の開発で重視しているのが「検査できるアプリケーションの幅」です。β版リリースから約8年間、お客さまからいただくフィードバックを反映した開発を行っています。正直リリース当初はきちんと検査できないアプリケーションも少なからずありました。大変ありがたいことにデバッグにご協力いただくお客さまが多くいらっしゃって、その方々のご協力を得ながら検査できるアプリケーションの種類が増えてきたという経緯もあります。おかげで今では一般的な作りのアプリケーションであれば検査できるようになったと思います。
―その他に、VAddyならではの特長と言えるものはありますか?
他社製品に比べて、セキュリティ診断項目を最大11種類と少なく絞っていることです。
一見、診断できる項目が多いほど安全で確実だと思われるかもしれませんが、その分、診断に膨大な時間がかかり、誤検知の発生リスクも高くなってしまいます。その点、VAddyは「ここは絶対に抑えておいた方がいい」というように検査項目を絞ることで、無駄なく確実に診断サイクルを回せる設計にしています。
これができるのは、弊社に長年の運用実績があるからです。またVAddy以外にも、自社製のWAF(「Scutum」)を運用しており、「どういう風に攻められることが多いのか」その傾向をつかんでいるのも大きいです。
最近も、導入企業様から「ほかのツールと比較して、エラーで弾かれず最後まで診断できたのはVAddyだけだった」というお話もいただきます。弊社の強みがあらわれていますし、診断項目の多さがすべてではないことを、ご認識いただけると思います。
―導入も簡単で、アカウントを開設すればその場ですぐ診断を実行できると聞きました。
はい。他社製品の場合、まずお問い合わせをして、それから説明を受けて、デモ画面を見てから利用開始という場合が多いと思いますが、VAddyは専用のWebサイトでアカウントを作成してサインアップいただければ、誰でも今すぐ診断可能です。使いこなすための事前レクチャーやトレーニングを受ける必要がなく、直感的に操作できるUIも好評いただいています。
早い方ですとアカウント作成から検査完了まで数十分で終わっている場合もあります。
―導入企業の特徴を教えてください。
一番多くご利用いただくのは、Webサービス関連事業を展開する企業様です。そうした企業様は機能追加や改修頻度が高いのですが、予算やスケジュールの関係で毎回手動診断を実施できません。その点VAddyを使うと小さな機能追加であっても「診断を行ってからリリースする」というサイクルを作ることができます。また、年に一回の定期診断だけでは不安というお客さまにも重宝いただいています。企業規模は、中小企業様から大規模なSler様まで幅広いです。
リリース当初は、もっぱら開発部門での使用を想定していたのですが、近年は情報システム部門など、開発に直接関わりのない部門のお客さまにもお使いいただいています。これは「誰でも使えるツール」として少しずつ認知が広がった結果だと思いますので、ありがたいですね。
―どのような目的で利用されるお客さまが多いのでしょうか?
最近は「シングルサインオン」に対応した診断ツールを求めてご利用いただくケースが増えています。シングルサインオンを実現する「Amazon Cognito」や「Azure Active Directory B2C」などのIDaaSに対応できるツールは、まだ少ないようです。
その他では、受託開発したシステムの納品直前に、クライアントから急遽「脆弱性診断を実施してほしい」と要望を受けたお客さまが、急いで利用されるパターンも多いです。前述した通り、VAddyはデモや問い合わせの必要がなく、アカウントを作ったら即診断をかけられるため、駆け込み寺のようにお使いいただいています。
その他には、年1回定期的に手動の診断サービスを実施している企業様が、その間に追加した機能をチェックする目的でスポット的にVAddyをご契約いただくこともありますね。
―導入後のサポート体制などで力を入れている点があったら教えてください。
オンラインマニュアルや、サポートサイト内のFAQは随時アップデートして、お客さまがすぐに課題を解決できる環境を整えています。
もちろん、有人のチャットサポート体制もありますので、操作中わからないことや困ったことにはすぐお答えします。特徴として、チャットサポートはVAddyの開発チームも担当しており、実際にVAddyを作っているメンバーが対応するため、的確な回答をタイムラグなく提示できています。オンラインでの個別相談会も開発チームが対応しますので、お気軽にご連絡いただければと思います。
―お客さまからいただいたお声で、印象的なものあれば教えてください。
とある大手のWeb制作会社様です。「自社の制作物をすべて診断してから納品したい」といった要望を抱えており、VAddyを全社で導入いただき、現場の部門ごとにVAddyを通してから納品するサイクルを作り上げたとのこと。VAddyが誰でも使えるツールとして活躍していることがわかる、嬉しいお声でした。
また、これまで手動診断を実施していたお客さまからVAddyの精度の高さを評価いただけたのは嬉しいですね。当初は診断項目の少なさに不安を感じられたようですが、実際に運用いただき「脅威への対策としては十分」と評価いただいています。
―今後、実現していきたいことを教えてください。
引き続き、誰にでも簡単に使える脆弱性診断ツールを目指していきます。
近年は、新しいものを取り入れてサービスの改善に励む企業も多いと思いますが、私たちは、安易に機能をアドオンすることには慎重です。余計な機能を追加したがゆえに、使いづらくなってしまったら元も子もないからです。新機能の追加を検討するときは「本当にユーザーが喜ぶのか」といった視点で密に議論を交わし、使い勝手を損ねないことを重視しています。
その分、お客さまのサポートには力を入れ続けていきます。チャットで問い合わせがあれば即返信するのはもちろん、サポートサイトもこまめに更新する。そういう姿勢を、これからも大切にしたいです。「脆弱性診断に困ったら、まずはVAddyに頼ってみよう」といった存在を目指せれば理想ですね。
| 会社名 | 株式会社ビットフォレスト |
| 代表者名 | 高尾 都季一 |
| 資本金 | 1,000万円 |
| 所在地 | 〒101-0054 東京都千代田区神田錦町1-17-5 Daiwa神田橋ビル8F |
こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
