動的アプリケーション・セキュリティ・テスト

ユニバーサルトランスレータは、現代のモバイルおよびブラウザベースのアプリケーションで使用されるフォーマット、プロトコル、開発テクノロジーを理解します。従来の name::value のペアクロールからのデータや最新アプリのプロキシキャプチャ内でのトラフィックを分析する際、ユニバーサルトランスレータはトラフィックを正規化し、アプリケーションを攻撃して脆弱性を発見します。

OWASP Top 10 を含む95種類以上の攻撃をテスト

当社の研究チームと製品チームは、最新のアプリセキュリティ攻撃とベストプラクティスを常に把握しているため、お客様がこれらに対処する必要はありません。InsightAppSec は、OWASP Top 10 を超えて、95種類以上の攻撃タイプとベストプラクティスをテストします。また、環境に特化した問題やカスタムリスクに対応するためのカスタムチェックを作成することも可能です。

OWASP Top 10 に対処

Open Web Application Security Project (OWASP Top 10) は、セキュリティチームが特にWeb アプリケーションにおいて厳重に警戒すべき重大な脆弱性のリストです。InsightAppSec は、2013年と2017年のOWASP Top Ten Web 脆弱性に対する攻撃テンプレートを提供し、セキュリティチームがこれらの特に重要な脆弱性に対するアプリケーションのコンプライアンスを簡単に評価できるようにします。

誤設定による脆弱性の発見

すべてのWebアプリケーションの脆弱性がアプリケーションロジックに起因するわけではありません。単純な誤設定だけでもアプリケーションが攻撃にさらされることがあります。誤設定の脆弱性はアプリケーションのソースコードには存在しないため、静的アプリケーションセキュリティテスト（SAST）ツールでは検出されにくくなります。InsightAppSecは、実行中のWebアプリケーションの誤設定を特にチェックし、セキュリティチームがこれらの脆弱性を可視化できるようにします。

アタックリプレイ機能で開発者を支援し、修正を容易に

アタックリプレイ機能を使用することで、開発者は自らスキャンを実行しなくても脆弱性を確認可能です。静的なリソースを提供するだけでは脆弱性の存在を証明することができない場合があり、開発者には問題を簡単に再現する方法が必要です。そこで役立つのがアタックリプレイ機能です。開発者は、脆弱性の修正を実装した後にすぐに作業をテストできるため、チケットを迅速に終了し、同時にアプリケーションセキュリティリスクを軽減できます。

セキュリティ部門と開発部門の間の摩擦を低減

セキュリティバグに関してセキュリティチームと開発チームの意見が常に一致するとは限りません。開発チームは他の優先事項とのバランスを取る必要があるため、脆弱性レポートとその中に記載されている問題の妥当性に対して懐疑的である可能性があります。InsightAppSec のアタックリプレイ機能を使用すると、開発者は、脆弱性を特定するために使用された記録されたHTTP トラフィックを再生することで、レポートから直接脆弱性を検証できます。

必要なツールで時間を節約し、開発を強化

開発者がセキュリティバグを調査し、ソースコードパッチを作成した後、通常は、脆弱性の修正を確認するためにパッチバージョンの追加スキャンが必要です。攻撃のリプレイを使用すると、開発者はセキュリティチームが別の検証スキャンを実行するのを待つ必要がなく、元の攻撃トラフィックをパッチに対して再生することで、自ら修正を確認できます。

強力なレポートを用いてインパクトを生み出し、伝達

InsightAppSec の調査結果は静的およびインタラクティブなHTML フォーマットの両方でエクスポートできます。インタラクティブなレポートは、ビジネスおよび開発部門のステークホルダーに対し、スキャン結果を簡単にナビゲートして確認するための強力で簡単な方法を提供します。修正が必要な脆弱性と記録されたトラフィックに関する豊富な技術的詳細がリソースから直接得られるため、修正プロジェクト作業中のセキュリティチームと開発チームの間のやり取りが減少します。開発者は、攻撃のリプレイを利用して、リストされた脆弱性を検証することもできます。コンプライアンス固有のリソーステンプレートは、Web アプリケーションのコンプライアンスリスクを即座に理解するのに役立ちます。

レポーティングをさらに進歩させるために、

InsightAppSec は、脆弱性の検出結果をCSV やPDF ドキュメントとしてエクスポートできるだけでなく、HTML フォーマットでレポートをエクスポートすることも可能です。これにより、ビジネスおよび開発部門のステークホルダーにとってレビュープロセスが簡素化され、スピードアップします。結果を選択的にエクスポートすることもでき、修正プロジェクト作業を複数の開発者やチームに分割する際に特に有用です。

開発部門に実用的なリソースを提供

修正プロセスに非効率性を残す余地はありません。開発者が直ちに行動を起こし、自信を持ってセキュリティバグに対処するために必要なコンテキストと正確な技術的詳細を提供できます。

コンプライアンスの達成と維持

アプリケーションセキュリティのコンプライアンスリスクを一目で把握できます。InsightAppSec は、PCI DSS、HIPAA、SOX、OWASP Top 10 などのさまざまなコンプライアンス規制に特化したレポートを作成します。

推進力を損なわずにスピードと柔軟性をもって対応

InsightAppSec のクラウドエンジンで一度に複数のターゲットをスキャンします。クローズドネットワークでホストされている本番前段階および内部のWebアプリケーションも、オンプレミスにデプロイされたオプションのスキャンエンジンを使用してスキャンできます。InsightAppSec からエンジンインストーラーを直接ダウンロードし、アカウントとペアリングして、クラウドベースのコンソールからすべての内部・外部スキャンの設定と結果にアクセスできます。

デプロイメントの手間をかけずにスキャンを開始

InsightAppSec のクラウドエンジンなら、迅速に活用を開始できます。インターネットに接続するアプリケーションに対して、ソフトウェアをローカルにインストールすることなくスキャンを実行します。短時間で特に多くのスキャンを実行する必要がある場合でも、InsightAppSec はスケーラビリティを考慮して構築されており、追加のクラウドエンジンを起動して複数のスキャンを同時に実行できます。しかも、追加コストは発生しません。

環境全体を包括的にスキャン

オフラインアプリケーションの脆弱性を可視化します。真のセキュリティを確保するためには、本番前段階および内部のアプリケーションもバグの監査が必要です。InsightAppSecは、簡単にアクセス可能なスキャンエンジンをクローズドネットワークに組み合わせることでこのプロセスを簡素化します。結果はクラウドベースのスキャンエンジンによって生成されたものと一緒にクラウドに保存されるため、すべての分析とレポートが一元化されます。

セキュリティをビジネスの妨げではなく、促進するものに変えましょう

強力なスキャンスケジュールとブラックアウト期間により、スキャンを実行するかどうかのタイミングを完全に制御できます。スケジュールされたスキャンは、頻繁に更新されるアプリケーションのセキュリティリスクに対する継続的な可視性を提供します。ブラックアウト期間は、アプリケーションの需要が高いときにスキャンの実行を防ぎ、ユーザーへの潜在的な悪影響を避けます。

スキャンを自動化して思い通りに実行

新しい更新がアプリケーションにプッシュされる際、セキュリティチームはしばしば情報共有対象から外されがちです。変化するアプリケーションを定期的なスケジュールで継続的に評価し始め、セキュリティリスクの可視性に遅延がないようにします。スキャンスケジュールにより、チームはアプリケーションのメンテナンスウィンドウ（またはトラフィックが少ない時間帯）にスキャンを柔軟に実行し、アプリケーションユーザーに対する潜在的なパフォーマンス問題を回避できます。

スキャンブラックアウトを実装

InsightAppSecは本番アプリケーションで安全に使用できます。さらに安心感を得るために、スキャンを絶対に避ける必要がある場合にはスキャンのブラックアウトを利用できます。