手軽で高速なクラウド型Web脆弱性診断ツール
VAddy(バディ)(バディ)

Webアプリケーションの脆弱性診断を社内で実施しませんか?
VAddyならセキュリティ専門家以外の方も脆弱性診断ができます。

1週間無料トライアルではじめる

最後に脆弱性診断を実施したのはいつですか?

イラスト:脆弱性診断内製化に迫られて困っているアプリケーション開発者「毎回脆弱性診断をするには予算がない」「今までの診断ではリリースに間に合わない」

VAddyの特徴

ユーザーフレンドリー✕高速✕自動化

セキュリティ製品の多くはセキュリティエンジニア向け

セキュリティ製品において、ユーザフレンドリー・速さ・価格と、検査の範囲や深さは、トレードオフの関係です。多くのセキュリティ製品はセキュリティエンジニア向けに設計されているため、検査の範囲や項目数を競うように増やしており、それにともなって検査時間の増加や、設定項目の複雑さが上がっていきます。

VAddyは、開発現場に浸透するセキュリティツールを目指し、従来の製品とは異なる視点・思想で開発しています。私たちは、セキュリティテストにおいて機械化できるところを機械化して煩雑な設定を無くし、誰でも使えるレベルのツールとなることを目指しました。
VAddyの検査では、リスクが低いものや攻撃頻度が低いパターンの検査項目を減らし、日々の検査で必ず検査すべきリスクの高い検査項目に限定しています。

VAddyと他社セキュリティエンジニア向けの比較した図です。他社セキュリティエンジニア向け商品は設定項目が多く難しく、VAddyは設定項目が少なく使いやすい商品であることを示してます

Webアプリケーション開発者自身による脆弱性診断(内製化)を可能にします

VAddyなら開発現場でも脆弱性診断できるから
開発スピードを妨げず、安全なWebアプリケーションをリリースできます。

面倒な設定は不要

VAddyは人工知能の技術で検査対象アプリケーションの動きを自動的に把握します。
そのため従来のツールと異なり、検査前に複雑な設定を行う必要はありません。

平均検査時間12分

SQLインジェクションやクロスサイト・スクリプティング(XSS)など、現実に観測されている攻撃に検査項目を絞ることで検査時間の短縮を実現しました。

トレーニング不要

VAddyでの検査には特別なトレーニングは必要ありません。従来の診断ツール導入の際によくある社内勉強会、講師を招いてのトレーニングは不要です。

簡単3ステップ

ステップ1:クロール

検査対象アプリケーションのURLとパラメータをVAddyに登録します。ローカルの環境で動いているWebアプリケーションの検査もOK!

ステップ2:スキャン

スキャンボタンをクリック。VAddyのスキャンサーバーは対象アプリケーションに検査リクエストを送信して脆弱性の有無を判別します。

ステップ3:レポート

脆弱性が発見されたら修正して再スキャン。VAddy APIツールを使って結果をチャットツールに通知したり、検査を定期・自動実行することも可能です。

最短の検査時間で最大の効果を

グラフ:VAddyの脆弱性診断項目は通常の攻撃の約87%をカバーしています

VAddyは検査対象を攻撃の発生頻度が高い脆弱性に絞ることで、従来のツールでは数時間〜数日かかっていた検査時間を平均12分程度*1まで短縮することに成功しました。 あえて攻撃の発生頻度が低い脆弱性の検査を除外し、開発現場で日々実施する検査として効率的かつ効果的な検査となるようにしています。SQLインジェクション、クロスサイトスクリプティング、リモートファイルインクルージョン、コマンドインジェクション、ディレクトリトラバーサルなど9つの脆弱性をカバーすることで、実際に観測されている攻撃の90%*2をカバーできます。

*1 フリープランを除いた場合で計測。検査対象サーバー環境やパラメーター数によって上下します。
*2 2019年7月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出

SQLインジェクション対策に クロスサイトスクリプティング(XSS)対策に

国内シェアNo.1を連続獲得したWAFの運用実績があります

図:Scutumのロゴ

2010年より国内SaaS型ウェブアプリケーションファイアウォール(WAF)市場においてシェアNo.1を連続して獲得している クラウド型WAF Scutum の開発/運用チームがVAddyの開発/運用を行なっています。

長年のWAFの運用経験で培われた技術と知見が投入されています。

Scutum とは株式会社ビットフォレストが開発を担当したクラウド型(SaaS型)WAFサービスです。 https://www.scutum.jp/

こんなシーンでVAddyが利用されています

  • お客様から診断の実施の有無を確認されるクラウドサービス
  • どんな小さな機能追加でもリリース前にかならず診断
  • 脆弱性診断を実施した製品だけを納品する社内ルール
  • 手動脆弱性診断で検査できなかった箇所をVAddyで診断
  • Webディレクターが受入検査と同時に脆弱性診断
  • CIと連携して脆弱性診断を自動化
  • シェルを使った夜間バッチで毎日自動検査
  • ローカル環境で開発中のWebアプリケーションの検査
  • APIサーバーの検査

導入企業

  • ゼロビルバンクジャパン株式会社
  • 電通アイソバー株式会社
  • 株式会社KDDIウェブコミュニケーションズ
  • 日本ユニシス株式会社
  • 株式会社ディーゼロ
  • 株式会社マネーフォワード
  • 株式会社カービュー
  • SmartNews
  • エコモット株式会社
  • アイピーロジック株式会社
  • ニシム電子工業株式会社
  • 株式会社インターワークス
  • ひつじ不動産
  • GMOペパボ株式会社
  • 弁護士ドットコム
  • 株式会社プロトソリューション
  • 株式会社ネットフォレスト
  • EC-CUBE
  • baserCMS
  • グルー株式会社
  • ヴェルク株式会社
  • 株式会社ヌーラボ