アプリケーションは複雑です。それらを保護する必要はありません。
アプリケーション セキュリティの専門家によるガイダンスと、毎月の自動スキャンにアナリスト主導の専門的な評価を組み合わせた多層的なテストにより、攻撃に悪用される可能性のあるアプリケーションの脆弱性を排除します。
アプリケーション・セキュリティの簡素化
専任のセキュリティアドバイザーと経験豊富な AppSec (アプリケーションセキュリティ)専門家によるガイダンスにより、複雑さを軽減し、AppSec のリスクを管理します。
実際の攻撃をシミュレート
当社の専門家は、攻撃者が実際に用いる TTP を活用して、お客様の Web アプリケーションおよび API を自動的に評価します。さらに、年1回の専門家による Business Logic Assessment を組み合わせて、業務プロセスに起因する固有のリスクを詳細に検証します。
騒音を減らし、時間を節約し、より迅速に保護します
Managed AppSec は、技術的な脆弱性とロジックベースの脆弱性を統合的に可視化し、優れたカバレッジとリスク低減を実現します。これにより、お客様のチームはより優先度の高いセキュリティ施策に注力できます。
アプリケーション・セキュリティの簡素化
専任のセキュリティアドバイザーと経験豊富な AppSec (アプリケーションセキュリティ)専門家によるガイダンスにより、複雑さを軽減し、AppSec のリスクを管理します。
実際の攻撃をシミュレート
当社の専門家は、攻撃者が実際に用いる TTP を活用して、お客様の Web アプリケーションおよび API を自動的に評価します。さらに、年1回の専門家による Business Logic Assessment を組み合わせて、業務プロセスに起因する固有のリスクを詳細に検証します。
騒音を減らし、時間を節約し、より迅速に保護します
Managed AppSec は、技術的な脆弱性とロジックベースの脆弱性を統合的に可視化し、優れたカバレッジとリスク低減を実現します。これにより、お客様のチームはより優先度の高いセキュリティ施策に注力できます。
ハイブリッドテストの強み
Rapid7 は、高頻度の自動テストに加え、年1回のアナリスト主導による詳細な評価を組み合わせることで、従来のマネージド AppSec モデルをさらに進化させます。これにより、リスクの高いアプリケーションをあらゆる角度から保護できます。
| マネージド DAST | ビジネスロジックの評価 | |
|---|---|---|
| 主な目標 | 基本的な自動化とベースラインセキュリティ | アプリケーションの動作に潜む、複雑な欠陥を特定 |
| テスト方式 | Web アプリケーションと API を対象とした、大規模な自動スキャン | 専門アナリストが主導する、ワークフローの詳細な検証 |
| 検出対象の種類 | インジェクションの脆弱性(SQL インジェクション、XSS)、CSRF、設定ミス | 権限昇格、ワークフローの回避、不正利用につながるロジックの欠陥 |
| 頻度 | 月次の | 年間 |
| 出力 | 優先順位付けされた脆弱性情報と、実行可能な修復ガイダンス | アナリストが検証した検出結果と、PoC に基づく攻撃経路 |
| 最適な用途 | アプリケーションポートフォリオ全体にわたる継続的なリスクベースライン分析 | リスクの高いアプリケーションや重要なワークフローを対象とした、重点的かつ詳細な検証 |
アプリケーション固有の機能ロジックを、実際の攻撃による悪用から保護
DAST により、 OWASP Top 10 に対する継続的かつ重要なカバレッジを提供します。さらに、当社のアナリストがアプリケーションの基盤となるロジックに悪用の余地がないことを検証し、セキュリティをさらに強化します。
高度な承認テスト
アクセス制御にとどまらず、一般ユーザーが権限を昇格させたり、ロールを不正に操作したりできないことを確認します。
ワークフローの整合性
購入手続き、登録、承認などの重要な業務プロセスが、迂回されたり不正に操作されたりしないことを検証します。
ビジネスルールのレジリエンス
アプリケーションの中核となるロジックを、実際の攻撃による悪用に耐えられるよう強化します。
設計レベルの検証
アナリストは、アプリケーションの意図を理解したうえで、アカウント復旧やセッション管理などのワークフローに潜む、見落とされやすいロジックの欠陥を特定します。
高度な承認テスト
アクセス制御にとどまらず、一般ユーザーが権限を昇格させたり、ロールを不正に操作したりできないことを確認します。
ワークフローの整合性
購入手続き、登録、承認などの重要な業務プロセスが、迂回されたり不正に操作されたりしないことを検証します。
ビジネスルールのレジリエンス
アプリケーションの中核となるロジックを、実際の攻撃による悪用に耐えられるよう強化します。
設計レベルの検証
アナリストは、アプリケーションの意図を理解したうえで、アカウント復旧やセッション管理などのワークフローに潜む、見落とされやすいロジックの欠陥を特定します。
包括的なコンプライアンス対応
自動化された DAST は、コンプライアンス対応における重要な基盤です。これに Business Logic Assessment を組み合わせることで、最新のフレームワークで求められる特定の手動テスト要件にも対応できます。当社アナリストによるテストは、以下に対する文書化されたエビデンスを提供します。
PCI DSSバージョン4.0
カスタム Web アプリケーションにおける、安全な開発および定期的なテストに関する厳格な要件に対応します。アナリストによる評価では、アクセス制御のメカニズムを詳細に検証し、ユーザーがロールを不正に操作したり、決済ワークフローを迂回したり、権限を昇格させたりできないことを確認します。
HIPAA
電子保護対象保健情報( ePHI )が漏えいするおそれのある機能上の抜け穴を特定し、必須のセキュリティリスク分析を強化します。これにより、患者ポータル、 API 、および医療データの連携経路を、高度な不正操作に耐えられるよう強化します。
SOC 2 および ISO 27001
監査担当者が求める、不正利用の防止、データの整合性、技術的な脆弱性への対応に関する明確で文書化された証跡を提供します。
OWASP ASVS
ビジネスロジックの悪用を特定し、防止します。当社のスペシャリストは、機能ワークフローに対して意図的に厳しいテストを実施し、設計段階で定めた認可ルールが、実際の攻撃者の手法に対しても有効に機能することを確認します。
PCI DSSバージョン4.0
カスタム Web アプリケーションにおける、安全な開発および定期的なテストに関する厳格な要件に対応します。アナリストによる評価では、アクセス制御のメカニズムを詳細に検証し、ユーザーがロールを不正に操作したり、決済ワークフローを迂回したり、権限を昇格させたりできないことを確認します。
HIPAA
電子保護対象保健情報( ePHI )が漏えいするおそれのある機能上の抜け穴を特定し、必須のセキュリティリスク分析を強化します。これにより、患者ポータル、 API 、および医療データの連携経路を、高度な不正操作に耐えられるよう強化します。
SOC 2 および ISO 27001
監査担当者が求める、不正利用の防止、データの整合性、技術的な脆弱性への対応に関する明確で文書化された証跡を提供します。
OWASP ASVS
ビジネスロジックの悪用を特定し、防止します。当社のスペシャリストは、機能ワークフローに対して意図的に厳しいテストを実施し、設計段階で定めた認可ルールが、実際の攻撃者の手法に対しても有効に機能することを確認します。
最新の Web アプリケーションの保護
マネージドAppSec とInsightAppSec の背後にある基盤となる動的アプリケーションセキュリティテスト(DAST) テクノロジーは、セキュリティチームがSQL インジェクション、XSS、CSRF などの潜在的な脆弱性について最新のWeb アプリケーションとAPIを正確かつ確実に評価するのに役立ちます。 Rapid7 チームは、InsightAppSec の機能を使用して、Web アプリのセキュリティが攻撃者にどのように立ち向かうか、および直面する可能性のある潜在的なコンプライアンスリスクを評価し、レポートします。
よくある質問
マネージド・アプリケーション・セキュリティは、アプリケーション・セキュリティプログラムの一部またはすべてを運用可能にするために、マネージド・セキュリティ・サービスプロバイダー(MSSP)によって提供されるサービスです。スキャン、脆弱性の検証、ターゲットを絞ったレポートのいずれであっても、これらの責任を信頼できるパートナーにオフロードして、より高いレベルのビジネス優先事項に時間を割くことができます。
マネージド・アプリケーション・セキュリティ・テストおよび修復サービスは、次の方法で機能します。
- スキャンの管理: スキャン構成の作成とスケジュール
- 脆弱性の検証: 結果の確認、脆弱性の検証、誤検知の除去
- ターゲットを絞ったレポートの活用:焦点を絞ったスキャンとレポート作成によりWebアプリケーションのコンプライアンスを維持
- 修復の優先順位付け: 修復のためのガイダンスと推奨事項を提供する
- ビジネスロジックのテスト:プロセスのタイミング、改ざんチェック、ワークフローの回避などのアプリケーション機能の評価
マネージド・アプリケーション・セキュリティ・サービスの利点は次のとおりです。
- リリースサイクルの加速
- 修復ダウンタイムの回避
- 修復までの時間の最小化
- コスト削減
- 主要な脆弱性の優先順位付け
静的アプリケーション・セキュリティー・テスト (SAST) と動的アプリケーション・セキュリティー・テスト (DAST) の違いは、アプリケーションとそのコードがスキャンされる時間です。SAST は保存中にアプリケーションをスキャンし、DAST は実行中(「実行時」とも呼ばれます)にアプリケーションをスキャンします。

