生成AI機能
0非公開ユーザー
その他|社内情報システム(その他)|100-300人未満|IT管理者|契約タイプ 有償利用
深い探査と脆弱性対応のしやすさで群を抜く検査ツール
良いポイント
優れている点・好きな機能
・マルチステップ操作で、正しい操作をしたときのみ到達できる深い階層を探査
・検査レポートだけでなく、AppScanの操作画面内で発見された脆弱性判定の根拠が追求できる
その理由
・入力フォームに特定の値を与えることで順番に次のステップに進むような、きめ細かいシナリオを指定できる。
・実際に攻撃したリクエストやレスポンスのヘッダーとボディが確認できるので、脆弱性と判定された根拠が、文章だけでなく値で追及することができる。
そのため他のツールを使って攻撃を再現できるので、開発部門への説明に説得力が増す。
改善してほしいポイント
欲しい機能・分かりづらい点
・マルチステップのシナリオ作成が、検査対象によっては工夫が必要(時には不可の場合もある?)
・
その理由
・アクセスごとに動的に変動する値を入力しなければならない、一度試験すると状態が変わってしまって再検査が難しいなどのシステムの検査では、シナリオ作成が非常に難しい。
・場合によっては、検査対象に検査のための修正を加える必要がある。
・SSOなど外部システムとの連携が必要な場合は、検査のときだけは認証をスキップするなど修正が必要と思われる。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
ほぼすべての社内システム、Webサイトの公開条件に、AppScanの検査をクリアすることとしている。
脆弱性検査は保険業界などで代理店として営業する際に必須の条件になる。
代理店登録時や監査では、ツール名と定期的な検査実績を提示することで、確実な運用体制であることを示すことができる。
実際に、AppScanで検査し脆弱性対応をしたシステムで情報漏洩などの問題は起きていない。
発見された脆弱性を評価し対策を検討する際、攻撃のヘッダーとボディが見られることがとても役に立つ。
脆弱性と判断する根拠も応答のヘッダー・ボディで明快に示されるので、対応の要不要の判断が明確に行える。
検討者へお勧めするポイント
とにかく設定が細かくできる。
発見された脆弱性への対応が容易。
