IPA「安全なウェブサイトの作り方(チェックリスト)」の全項目に対応した
『Advancedプラン』
クラウド型脆弱性診断ツール「VAddy」では基本プランであるEnterpriseプランの診断項目を拡張する
『Advancedプラン』を提供しています。
VAddy基本プランの詳細:VAddy料金プラン
VAddyではこれまでEnterpriseプランにて11個の脆弱性に対する検査機能を提供していましたが、Advancedプランにアップデートすることで、独立行政法人 情報処理推進機構(以下、IPA)が提唱する「安全なウェブサイトの作り方(チェックリスト)」で紹介されている全ての脆弱性の診断が可能(*1)になりました。
「安全なウェブサイトの作り方」とは
IPAが届出(*2)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。
下記はチェックリストに記載されている脆弱性の種類です。
- SQLインジェクション
- OSコマンド・インジェクション
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- セッション管理の不備
- クロスサイト・スクリプティング
- CSRF(クロスサイト・リクエスト・フォージェリ)
- HTTPヘッダ・インジェクション
- メールヘッダ・インジェクション
- クリックジャッキング
- バッファオーバーフロー
- アクセス制御や認可制御の欠落
引用元:安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
*1 本オプションを利用した診断結果について、IPAがその保証を意味するものではありません。
*2 脆弱性関連情報の届出
Advancedプランの診断項目一覧
「安全なウェブサイトの作り方」の資料内にあるWebアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストの項目をVAddyのAdvancedプランで診断いただけます。
「より客観的な指標に基づく診断を実施したい」というお客様にとって最適なオプションです。
| IPA『安全なウェブサイトの作り方』チェックリスト | Advanced 標準検査項目 |
|---|---|
| 1. SQLインジェクション | |
| 2. コマンドインジェクション | |
| 3. ディレクトリトラバーサル | |
| 4. セッション管理不備の検査 | |
| 5. クロスサイトスクリプティング | |
| 6. CSRF検査 | |
| 7. HTTPヘッダインジェクション | |
| 8. メールヘッダインジェクション検査 | |
| 9. クリックジャッキング検査 | |
| 10. バッファオーバフロー検査 | |
| 11. アクセス・認可制御不備の検査 | |
| その他VAddy Advancedプランで検査可能な項目 リモートファイルインクルージョン コマンドインジェクション 安全でないデシリアライゼーション XML外部実体攻撃 SSRF脆弱性 非公開ファイル検査 |
Advancedプランについて
料金例
| 月間契約 | 99,800円 | |
|---|---|---|
| 年間契約 | 998,000円年額だと2ヶ月分お得 | |
※料金は全て税別
お申込み方法
- VAddyアカウントをお持ちでない方
まずは下記ボタンよりVAddyアカウントを作成してください。
無料アカウント作成 - VAddyアカウントをお持ちの方
VAddy管理画面から上部メニューのユーザー名をクリックし、プルダウンメニューから「課金情報」をクリックします。課金情報ページ下部のボタンから新規お申込み及びプラン変更をお申込みください。
【2021年9月27日プレスリリース】
脆弱性診断ツール「VAddy」、IPA「安全なウェブサイトの作り方(チェックリスト)」の全項目に対応した『検査項目追加オプション』を提供開始