Vexの製品情報（特徴・導入事例）

脆弱性診断のためのプロツール 「Vex」

Vulnerability Explorer(Vex)は、優れた脆弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。 2007年のリリース以来、弊社診断チームや各セキュリティベンダーからの数千サイトに及ぶ診断実績をフィードバックし、常に進化を続けています。

自動巡回による簡易なシナリオ作成

対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成します。
巡回対象のURLを設定するだけで、サイトに含まれるURLを自動的に収集し、画面遷移を最適化したうえで、シナリオを作成することができます。
ログインが必要なサイトも、認証情報とフォームを設定することで、自動でログインして巡回を行うことが可能です。

シナリオマップを使ったテストシナリオ作成

GUI操作によりテストシナリオを作成するシナリオマップ機能を搭載しています。 ショッピングサイト上で、商品をショッピングカートに入れたのち、配送先を入力し、支払方法を選択し、最終確認画面を経由したうえで、商品を購入するという一連の流れがあるシナリオも、わかりやすく作成・管理できます。

複雑なテストシナリオにも対応（Handler設定）

Handlerを利用して、リクエストに任意の前後処理（準備処理・後処理）や追加検査（拡張処理）を設定することが可能です。 登録機能と参照機能をまたいで確認する必要のある脆弱性（セカンドオーダーアタック）の検出や、一意性制約などのバリデーションを回避しながらの診断等、一般的なツールでは検査が難しい複雑なテストシナリオが実現できます。

Webアプリケーションの脆弱性を網羅

OWASP TOP10に対応し、Webアプリケーションの一般的な脆弱性を網羅するだけでなく、国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性や、フレームワーク固有の脆弱性など、独自の検査シグネチャも充実しています。 最新のセキュリティ・脆弱性動向や、ユーザからのフィードバックを取り入れながら定期的にシグネチャを追加・更新しています。

カスタムシグネチャ

さらに発展的な診断のために、ユーザ定義のカスタムシグネチャを作成できます。検査のための送信パターンを作成し、期待するレスポンスを定義することで、任意の脆弱性を検知することが可能です。
また、通常のシグネチャと同様に脆弱性カテゴリや、危険度等の定義も可能なので、レポートにも診断結果を反映することができます。

サーバファイル・設定の検査

Webアプリケーションだけでなく、サーバに起因する問題を検出することも可能です。
不要なファイルが公開状態になっていないかどうかのチェックや、サーバの設定ミスに由来する脆弱性や、サーバソフトウェアの既知の脆弱性の検査を行います。

豊富なレポート出力形式

開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じた様々なフォーマットでのレポートを出力することが可能です。
またOWASP TOP 10や、IPAの「安全なウェブアプリの作り方」チェックシート、PCI DSS等の各種フレームワークに対応し、それぞれのフォーマットに合わせたレポートを出力することもできます。

英語レポートにも対応

Vexが発行する各レポートは、日本語だけでなく、英語での表記にも対応しています。
開発者が海外にいる場合や、報告先が海外などのケースでご活用いただけます。

脆弱性統合分析ツール(ASOC)※とも連携

脆弱性統合分析ツール（ThreadFix／CodeDx）に取り込めるレポートの出力ができます。複数の検査ツールによる脆弱性検査結果を統合的に分析することが可能です。

※ASOC(Application Security Orchestration and Correlation)ツール

Android静的解析オプション

Androidアプリの脆弱性を静的解析手法で検査するオプション機能です。 複数のセキュリティガイドラインと当社独自のノウハウを反映し、網羅的な検査を実現します。
また、Androidアプリと連携するWebアプリケーションサーバへの検査も行うことができるため、クライアントとサーバの両面から包括的なセキュリティの担保を実現します。