手軽で高速なクラウド型Web脆弱性診断ツール
（バディ）

Webアプリケーションの脆弱性診断を社内で実施しませんか？
VAddyなら開発者の方をはじめ誰でも簡単に脆弱性を検査できます。

VAddyは開発現場の声から生まれた
開発者のための脆弱性診断ツールです

イラスト：脆弱性診断内製化に迫られて困っているアプリケーション開発者「毎回脆弱性診断をするには予算がない」「今までの診断ではリリースに間に合わない」

VAddyの特徴

セキュリティ製品の多くはセキュリティエンジニア向け

セキュリティ製品において、ユーザフレンドリー・速さ・価格と、検査の範囲や深さは、トレードオフの関係です。多くのセキュリティ製品はセキュリティエンジニア向けに設計されているため、検査の範囲や項目数を競うように増やしており、それにともなって検査時間の増加や、設定項目の複雑さが上がっていきます。

VAddyは、開発現場に浸透するセキュリティツールを目指し、従来の製品とは異なる視点・思想で開発しています。私たちは、セキュリティテストにおいて機械化できるところを機械化して煩雑な設定を無くし、誰でも使えるレベルのツールとなることを目指しました。
VAddyの検査では、リスクが低いものや攻撃頻度が低いパターンの検査項目を減らし、日々の検査で必ず検査すべきリスクの高い検査項目に限定しています。

VAddyと他社セキュリティエンジニア向けの比較した図です。他社セキュリティエンジニア向け商品は設定項目が多く難しく、VAddyは設定項目が少なく使いやすい商品であることを示してます

Webアプリケーション開発者自身による脆弱性診断(内製化)を可能にします

VAddyなら開発現場でも脆弱性診断できるから
開発スピードを妨げず、安全なWebアプリケーションをリリースできます。

面倒な設定は不要

VAddyは人工知能の技術で検査対象アプリケーションの動きを自動的に把握します。
そのため従来のツールと異なり、検査前に複雑な設定を行う必要はありません。

平均検査時間12分

SQLインジェクションやクロスサイト・スクリプティング（XSS）など、現実に観測されている攻撃に検査項目を絞ることで検査時間の短縮を実現しました。

トレーニング不要

VAddyでの検査には特別なトレーニングは必要ありません。従来の診断ツール導入の際によくある社内勉強会、講師を招いてのトレーニングは不要です。

簡単３ステップ

検査対象アプリケーションのURLとパラメータをVAddyに登録します。ローカルの環境で動いているWebアプリケーションの検査もOK！

スキャンボタンをクリック。VAddyのスキャンサーバーは対象アプリケーションに検査リクエストを送信して脆弱性の有無を判別します。

脆弱性が発見されたら修正して再スキャン。VAddy APIツールを使って結果をチャットツールに通知したり、検査を定期・自動実行することも可能です。

最短の検査時間で最大の効果を

VAddyは検査対象を攻撃の発生頻度が高い脆弱性に絞ることで、従来のツールでは数時間〜数日かかっていた検査時間を平均12分程度^*1まで短縮することに成功しました。あえて攻撃の発生頻度が低い脆弱性の検査を除外し、開発現場で日々実施する検査として効率的かつ効果的な検査となるようにしています。SQLインジェクション、クロスサイトスクリプティング、リモートファイルインクルージョン、コマンドインジェクション、ディレクトリトラバーサルなど9つの脆弱性をカバーすることで、実際に観測されている攻撃の90%^*2をカバーできます。

*1 フリープランを除いた場合で計測。検査対象サーバー環境やパラメーター数によって上下します。
*2 2019年7月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出

SQLインジェクション対策にクロスサイトスクリプティング（XSS）対策に