Webアプリケーション脆弱性診断ツール

問題点と対策の提示で素早い対処を支援

IBM Security AppScan

機能

幅広い脆弱性を簡単な手順で診断可能

脆弱性診断を的確に補助する6つのツール郡

Authentication Tester

総当たり攻撃法のテスト用ユーティリティーです。

Expression Test

使いやすいユーティリティーによって正規表現をテストすることができます。

Connection Test

多くのファイアウォールでブロックされるpingプロトコルを使用せずに、Webサイトをpingすることを可能にします。

HTTP Request Editor

ユーザーのサイトがさまざまな種類のHTTPおよびHTTPS要求にどのように応答するかをテストできるようになります。

EncodeDecode

ストリングを1つの方式から別の方式に変換し、またデコードして元に戻すための、さまざまなテキスト・エンコード方式を選択することを可能にします。

Token Analyzer

Webアプリケーション・セッション用のさまざまなテストを提供します。

診断からレポーティングまで6ステップで完了

実際の脆弱性診断はレポーティングを含む6ステップで実施されます。診断時にはウィザード画面により次に必要な操作が表示されます。

1.
検査の設定
【ユーザーによる操作】
  • テスト内容(テンプレート、テストポリシー)の選択
  • テスト対象サイトの設定(URL、ログイン方法など)
2.
探査の実施
【AppScanが自動実行】
  • テスト対象のWebサイトを巡回してサイトの構造を把握する
  • テストの構造に応じたテスト項目を決定する
3.
カバレッジの確認
【ユーザーによる操作】
  • テスト対象のWebサイトがもれなくテスト対象となっているかを確認
4.
テストの実施
【AppScanが自動実行】
  • 設定されたテスト内容を元に様々なアクセスを試みて結果を記録する
5.
テスト結果の表示
【AppScanが自動実行】
  • アクセス結果を元に脆弱性の有無を判断して、その結果を表示する
  • 発見された脆弱性の詳細や、推奨する修正方法を提示する
6.
レポートの作成
【ユーザーによる操作】
  • テスト結果や修正方法などを必要な形式のレポートとして出力する
幅広い脆弱性を発見可能

AppScanでは以下の脆弱性を発見、対応が可能です。

Authorization インデクシング/セッションの推測
セッションの固定
不適切なセッション期限
不適切な許可
アプリケーション プライバシーテスト
品質テスト
クライアント側攻撃 クロスサイトスクリプティング
コンテンツのなりすまし
コマンドの実行 LDAPインジェクション
OS命令
SQLインジェクション
SSIインジェクション
XPathインジェクション
バッファーオーバーフロー
書式文字列攻撃
情報の開示 ディレクトリインデクシング
パストラバーサル
情報遺漏
推測可能なリソースの位置
認証 総当たり攻撃
不適切な認証
論理攻撃 サービス拒否攻撃
機能の悪用
システム要件

AppScanは以下のシステムで動作します。

OS

Windows XP Professional, SP2 and SP3
Windows 2003 Standard and Enterprise Editions, SP1 and SP2
Windows Vista Business, Ultimate & Enterprise Editions, SP1 and SP2
Windows Server 2008 Standard and Enterprise Editions, SP1 and SP2
(In all systems, both 32- and 64-bit versions are supported.)
Windows 7 Enterprise, Professional and Ultimate

ソフトウェア

Internet Explorer 6.0 or higher
Microsoft .Net Framework version 2.0 (SP1)
Adobe Flash Player version 9.0.124.0 or higher
Microsoft .Net Framework version 3.0 (for some optional additional functionality)

ハードウェア

Processor: Pentium P4 2.4 GHz
Memory: 1 GB RAM
Free Disk Space: 10 GB
Network: 1 NIC 100 MBPS for network communication with configured TCP/IP

サービス

脆弱性診断体制構築

AppScan で自社内脆弱性診断体制を構築されるお客様に支援サービスをご提供

ツールを購入しても使いこなせなければ意味がありません。またツールだけでは発見出来ない脆弱性もあります。脆弱性診断体制構築は経験豊富な当社の脆弱性診断技術員が診断計画の策定からツール・手作業による診断の実施、レポート作成にいたるまで、自社内で脆弱性診断体制を構築する際に求められる専門的なノウハウをご提供します。

詳細は こちら をご参照下さい。

お問い合わせ

お問い合わせはこちら

CONTACT

03-5166-1764

基盤インテグレーション事業本部 セキュリティサービス部
受付時間:9:30~18:00(土・日・祝日は除く)

page top