たったこれだけ！
脆弱性診断ツール「VAddy」を使った脆弱性診断のはじめ方

【0】まずは無料でアカウント作成

クラウド型Web脆弱性診断ツール「VAddy」で脆弱性診断をはじめるにはアカウント作成が必要です。必要な情報を登録してアカウントを作成していただくと、最初の1週間を無料でご利用いただけけるトライアルプランで、Professionalプラン（診断5項目）同様の機能をお試しいただけます。

アカウント作成はこちら

【1】検査したいサーバー情報を登録しましょう

VAddyでは対象のサーバーを外部から検査する「動的解析」という手法を取ります。したがって検査対象のサーバーがお客様の管理下にあることを確認するため、対象のWebサーバーの情報を事前にVAddyに登録していただきます。これは第三者が管理するサーバー／アプリケーションを無断で検査することを防ぐためです。

IDaaSを使用したアプリケーションの診断を行いたい場合は「サーバー所有者確認スキップ機能」をお申込みください。

詳細な設定方法はこちら

※本番環境への検査は行えません。

【2】検査を行うためのテストシナリオを作成します

テストシナリオの作成はとても簡単。拡張機能をインストールしたブラウザで対象のアプリケーションを実際に操作するだけで自動的にテストシナリオが作成されます。なお、VAddyではテストシナリオのことをクロールデータと呼びます。

検査対象を自由に設定できるので、「WEBサイトの中で問い合わせフォームだけを検査する」というように必要な箇所のみを検査することができ、スキャンの実行時間も短縮することができます。このクロールデータは複数登録できますので、検査したい機能ごとにクロールを作成するといった使い方が可能です。

詳細な設定方法はこちら

【3】実際に自分のアプリケーションをスキャンしてみましょう

あとはクリックするだけで先程作成したシナリオに沿って検査が実行されます。スキャンが完了するまでの時間はクロールデータに含まれるURLやパラメータ数、対象のサーバーのスペックなどによって左右されますが、VAddy利用者の平均は12分程度です。スキャン完了までお待ちください。

スキャンが完了するとスキャン結果の詳細を確認できます。スキャン結果に脆弱性が含まれていた場合は、該当したURLやサマリーレポートを参照して、検出された箇所を修正してください。 

有料プランをご契約いただくと、発見された脆弱性の説明と対応方法をご覧いただけます。

脆弱性診断結果（脆弱性あり）

スキャン結果に問題がない場合や、修正して脆弱性が検出されなくなれば、完了です。

脆弱性診断結果（脆弱性なし）

PDFレポートのダウンロードが可能ですので、脆弱性診断結果として報告に使うのも良いでしょう。
検査レポートサンプル