2024年10月11日

「GMOサイバー攻撃ネットde診断for Webアプリ」をリリース
【GMOサイバーセキュリティbyイエラエ】
~ホワイトハッカーが開発した手軽で高品質なWebサイト向け脆弱性診断ツール~

  • GMOサイバーセキュリティ byイエラエ株式会社

 GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は2024年10月11日(金)、ホワイトハッカーのノウハウを詰め込んだ手軽かつ高性能なWebアプリケーション脆弱性診断ツール「GMOサイバー攻撃ネットde診断for Webアプリ」をリリースしました。

【「GMOサイバー攻撃ネットde診断for Webアプリ」について】
(https://product.gmo-cybersecurity.com/net-de-shindan-web/lp1/)

 「GMOサイバー攻撃ネットde診断 for Webアプリ」はGMOサイバーセキュリティ byイエラエに所属するホワイトハッカーが開発したWebアプリケーション脆弱性診断ツールです。ブラウザから診断したいWebサイトのトップページのURLを入力すると、Webサイト内に存在するページの巡回から脆弱性の検知まで自動で行います。クラウドツールのためダウンロードは不要で、ホワイトハッカーが最新の脆弱性情報や検知ロジックを随時反映するため、いつでも手軽に高精度な脆弱性診断が可能です。

【脆弱性診断の現場から見えた様々な課題】

 GMOサイバーセキュリティbyイエラエでは2011年からホワイトハッカーによるWebアプリケーションの脆弱性診断サービスを提供していますが、お客様から「脆弱性診断を第三者に委託するのは稟議や発注手続きなどに時間がかかるのでできる限り内製化したい」「アジャイル開発(※1)を採用しているため小規模だが頻繁にアップデートをしている。その都度脆弱性診断を依頼するのは手間も費用もかかりすぎる」という声をたくさんいただいていました。
 Webサイトを常に安全な状態にしておくためには最低でも週1回〜月に1回の診断を推奨しますが、このようなお声をいただき、コスト面で諦めざるを得ないお客様が多くいることに当社では課題感を感じました。

 そこでGMOサイバーセキュリティbyイエラエでは長年提供してきたWebアプリケーションに対する脆弱性診断の知見・ノウハウと、国内外のセキュリティコンテストで磨いたセキュリティに関する高度な技術を活用した自動Webアプリケーション診断ツールの開発に取り組み、この度「GMOサイバー攻撃ネットde診断for Webアプリ」としてリリースしました。

(※1)迅速なリリースと継続的な改善を重視する反復的で柔軟なソフトウェア開発手法

「GMOサイバー攻撃ネットde診断 for Webアプリ」の管理画面のイメージ

【「GMOサイバー攻撃ネットde診断for Webアプリ」診断項目】

 「GMOサイバー攻撃ネットde診断for Webアプリ」では以下28項目の脆弱性が検知可能です。診断項目は今後も追加予定です。

ディレクトリリスティング重要な状態データの外部制御
既知の脆弱性が存在するソフトウェア平文による秘密情報の送受信
バージョン情報の検出クロスサイトスクリプティング
Cookieの不備(HttpOnly)送信データによる機密情報の公開
Cookieの不備(Secure)任意のコマンド実行
キャッシュ制御の不備不適切な入力処理
データの信頼性についての不十分な検証認可制御の不備
クリックジャッキング任意のコード実行
セキュリティヘッダの不備バッファオーバーフロー
情報開示書式文字列攻撃
オープンリダイレクト整数オーバーフロー
サービス運用妨害SQLインジェクション
Cookie汚染パストラバーサル
不適切な入力確認安全でないデシリアライゼーション

【クローリング機能でWebサイトを探索し自動で診断対象ページをピックアップ】

 GMOサイバー攻撃 ネットde診断 for WebアプリではWebサイトのTOPページのURLを入力するだけでその配下のページを自動で探索、診断対象となるページを検出します。また自動クローリングで見落としがちな特定条件下でしか遷移できないページはお客様自身が遷移方法を入力することで診断対象ページとして登録することができ、複雑な分岐や画面遷移にも対応可能です。また将来的にはAIエンジンを活用して、より高精度なクローリング機能を実現する予定です。

【開発秘話と今後の展望に関する記事をブログで公開中】

 GMOサイバーセキュリティ byイエラエのコーポレートサイト内ブログでは、現在「GMOサイバー攻撃 ネットde診断 for ASM」「GMOサイバー攻撃 ネットde診断 for Webアプリ」に関する記事を公開しています。それぞれのツールの違いや特徴、今後の展望などを開発者が自ら解説しています。

・国産ASMツール「ネットde診断 ASM」でセキュリティ管理の障壁を下げる!担当者が語る開発秘話(前編):https://gmo-cybersecurity.com/blog/ierae-journal-03/
・脆弱性診断ツール「ネットde診断 for Webアプリ」で脆弱性診断の内製化を実現!担当者が語る開発秘話と今後の展望(後編):https://gmo-cybersecurity.com/blog/ierae-journal-03-2/

【資料ダウンロード】

 「GMOサイバー攻撃 ネットde診断 for Webアプリ」の資料請求または製品に関するお問い合わせやお見積りを希望される場合は以下のページからお問い合わせください。

・資料ダウンロード:https://product.gmo-cybersecurity.com/resources/service/doc-web/
・お問合せ:https://product.gmo-cybersecurity.com/contact/web/

【GMOサイバーセキュリティ byイエラエについて】

 GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。

  • 【報道関係お問い合わせ先】

    ●GMOサイバーセキュリティ byイエラエ株式会社
     マーケティング部広報担当 伊礼
     TEL:03-6276-6045
     E-mail:irei@gmo-cybersecurity.com

    ●GMOインターネットグループ株式会社
     グループ広報部 PRチーム 田部井
     TEL:03-5456-2695
     お問い合わせ:https://www.gmo.jp/contact/press-inquiries/

会社情報

  • GMOサイバーセキュリティ byイエラエ株式会社

    所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
    代表者 代表取締役CEO 牧田 誠
    事業内容 Webアプリ及びスマホアプリ脆弱性診断
    ペネトレーションテスト
    不正利用(チート)診断
    IoT脆弱性診断
    自動車脆弱性診断
    フォレンジック調査
    CSIRT支援
    クラウドセキュリティ診断
    クラウドセキュリティ・アドバイザリー
    資本金 1億円
TOP