AeyeScanとは
はじめに
この記事では、AeyeScan(エーアイスキャン)とは何かについて解説します。
ドキュメントベースで調査してどのようなものか把握します。
AeyeScanとは
簡単に説明すると「誰でも簡単にプロさながらの高度な脆弱性診断できる」サービスです。
AeyeScan の基本機能
AeyeScanには、次のような機能があります。
- 脆弱性診断
- 自動巡回
- 各種ツールの巡回
脆弱性診断
フルスケールの脆弱性スキャンを社内化するのに役立つツールです。
ユーザーは、専用のセキュリティエンジニアを雇うことなく、脆弱性スキャンを社内化できます。
エンジニアでなくても使用でき、ユーザーは3ステップで診断を開始できます。
スタートガイドに沿った簡単な導入があり、トレーニングの必要がなく、エンジニアでない人でもわずか10分で診断を開始できます。
また、セキュリティ専門家が信頼する診断項目が備わっており、OWASPアプリケーションセキュリティ検証基準に準拠しています。
診断項目は最新のセキュリティ状況に合わせて更新されます。
どのようなリスクがあるのかどのような対策が必要なのかなどを詳しく記載した診断レポートを自動的に生成します。
本格的な脆弱性診断の内製化をカンタンに実現 | AeyeScan | AeyeScan
補足:OWASPとは
OWASP(Open Web Application Security Project)は、Webアプリケーションのセキュリティに関する情報を提供する非営利団体です。
有名なプロジェクトとして、OWASP Top 10があります。
OWASPとは|OWASP Top 10とは | Cloudflare
自動巡回
AIとRPA技術を使用して、対象アプリケーションを自動的にクロールし、入力フォームに自動的に情報を入力します。
これにより、高精度なテストシナリオを自動的に生成することができます。
大規模なサイトでも自動的にクロールしてテストシナリオを生成することができ、シングルサインオンやSPA画面にも対応しています。
AIによってクロールされた箇所は画面遷移図として出力され、サイトのどこに脆弱性が隠れているかを素早く確認することができます。
また、手動クロール機能やユーザーがブラウザで診断したいページを手動で操作し遷移させることが可能です。
操作履歴を記録して操作範囲内でのみ脆弱性診断を行います。
高精度なテストシナリオをAIで自動生成 | AeyeScan | AeyeScan
補足:RPAとは
RPA(Robotic Process Automation)は、ソフトウェアロボットを使ってビジネスプロセスを自動化する技術です。
RPAは、人間が行うルーチンワークを自動化することで、生産性を向上させることができます。
有名な製品ではUiPathやWinActorなどがあり、コードを書く必要なく、GUI操作で自動化できます。
各種ツールの巡回
CI/CDツールとのAPI連携により、セキュリティテストの自動化を実現します。
また、開発・運用体制に合わせて柔軟なアクセス権限設定が可能で大規模なWebサイト開発や
複数Webサイトの運用時に社内外の開発パートナーへの情報共有を円滑に行えます。
つまりはCI/CDに組み込むことで、開発者がコードをコミットするたびに自動的に脆弱性診断ができます。
様々なセキュリティ強化のニーズに応える充実の機能 | AeyeScan | AeyeScan
まとめ
AeyeScanはWebアプリケーションの脆弱性をスキャンする企業にとって便利なツールです。
高網羅性、自動化、セキュリティを重視したAeyeScanは、企業のセキュリティ対策に役立つツールです。
感想としてはシングルサインオンやSPA画面にも対応している点が特に便利だと感じました。
また、CI/CDツールとの連携により開発者がコードをコミットするたびに自動的に脆弱性診断ができる点も魅力的です。
Discussion