Webサイト上の脆弱性を正確に解析 NSFOCUS Web脆弱性スキャニングシステム Webアプリケーションのセキュリティの必要性については長年に渡り警告が出されていますが、新規ビジネスのために矢継ぎ早に作りこまなければならないWebサイトの設計者や管理者には、セキュリティ対策が後回しになることもあるかもしれません。しかし、Webアプリケーションの脆弱性を狙った犯罪者からの攻撃は巧妙化しつつあります。そのため、 WebアプリケーションやWebサイトにおいて隠れた脆弱性を検知し、脆弱性をついたハッカーによる悪意ある攻撃からシステムを守ることが必須の課題となっています。 NSFOCUS Web脆弱性スキャニングシステム (WVSS) は、Webサイト上のすべてのリソースのセキュリティ評価を簡単かつ自動で行うことができます。ボタンのクリック、カーソルの動き、複雑なフォームへの記入といったWebサイトの訪問者の振る舞いを疑似的に実行することで、Webアプリケーション上に存在しうる脆弱性を検知し、解析レポートおよび優先順位に基づいた改善方法をご提案致します。 Internet ファイアウォール高いリスクを持つ脆弱性を発見ルータスイッチスキャンポート1 スキャンポート2 WVSS スキャンポート3 VLAN Webサーバ Webサーバリリース環境開発環境 Webサーバ運用環境 ◆Webサイトの脆弱性に対する正確な解析 NSFOCUS WVSS は、Webアプリケーションのセキュリティスキャンに特化しており、業界をリードするWebスキャンおよび脆弱性解析を行います。Ajax、Flash、JavaScript や Web 2.0 といったアプリケーションの認識および OWASP、WASC 脆弱性テンプレートをサポートし、容易に危険な脆弱性の特定や修復ができるように詳細なレポートを提供します。 ◆大規模なWebサイトに対するスピーディーなスキャニング WVSS はインテリジェントWebクローリング、動的リソースの調整、プロキシキャッシュ、リアルタイムでのタスク割り当て、 URL レベルのロードバランシングといった、革新的な技術を搭載しています。独自の高度なスキャニング忌避技術を有し、 Index 配下にある各サイロページのログ解析との連携を行います。帯域幅の消費などの条件を手動または自動で調節することでスキャニングの測度を一定に設定することができます。従来のスキャニングは通常業務に支障が起こすことがありましたが、高速スキャニングのWVSSは業務へ影響をほとんど起こしません。 ◆仮想化環境への柔軟な適応 WVSS は、仮想化環境にも簡単に配置することが可能です。オンデマンド技術の仮想版として、他社のホスティングOSを使用する際にかかる費用を抑えることができます。Bare およびホスティング配置モードをサポートし、区分けされたクラウドホストや社内用のコンピュータ、どちらにもインストールすることができます。 WVSS の特長 ◆徹底した検証と包括的なスキャニング ●多様な複数のWeb技術 (PHP, ASP, .NET, HTML)、サイトタイプ (ポータル、フォーラム、ブログ、インターネットバンキング)、 Webアプリケーション (IIS, Apache, Tomcat)、他社製のコンポーネント (Struts2, WebLogic, WordPress) を自動解析します。 ●多くの正確なスキャニングプラグインで、OWASP TOP 10-2010 / 2013; WASC という世界的な脆弱性に対応しています。また、必要に応じて、スキャニングテンプレートをカスタマイズすることが可能です。 ●Webセキュリティインシデントを継続的にトラッキングすることで、脆弱性プラグインを迅速アップデートし、攻撃に対応することが可能です。 ●レジスターに関連するプロアクティブ検知技術を静的および動的に組み合わせることで、既知および未知のレジスタータイプを識別します。 ◆可視化された脆弱性の確認 ●SQL インジェクション、クロスサイトスクリプティング等の一般的なWeb脆弱性の検証をサポートします。 ●バッチの検証では、手動または自動の認証モードでコード内の脆弱性の位置を特定し、誤検証の場合の修正も可能です。 ●詳細なレポートに基づいてコードの修正を実施する際、WVSS にてブロックされたリンクを開放する手順で、脆弱性の発見から修復を迅速に行うことが可能です。 ●コードレベルでの詳細なリスト相互データだけでなく、可視化された脆弱性の確認画面を添えたオフラインレポートが提供され、脆弱性を論理的な観点から検証し、脆弱性を検出可能なリクエストやレスポンスが表示されます。 ◆分散型クラスタスキャン ●URL のスキャニング画面レベルでのロードバランシングをより細密かつ詳細に行い、大規模なスキャニングの安全性および迅速性を両立させたスキャンサービスを実現しています。 ●下層ノード数を必要に応じて柔軟に拡張可能なので、それぞれに割り当てられたシングル／マルチタスク間の動的均衡を保つことができます。最大32の下層ノードをサポートし、最大構成時でもスキャン速度をリアルタイムで自動調整します。 ●各 WVSS は管理およびスキャニング、2つの役割を担います。上層のノードは下層ノードのスキャンタスクを管理し、サマリーレポートの出力を行います。 ◆グローバルリスク分析とディスプレイの見やすさ ●ダッシュボードでは、スキャン対象サイトのセキュリティ危険度がサマリ表示されます。例えば、過去10 日間のリスクレベル、過去30 日間の危険なWebサイトトップ 10、最新の脆弱性情報、シングルWebページにおけるリスクのトレンド、ネットワークのインタフェーストラフィック、各タスクの進捗状況といった詳細な情報を瞬時に読み取ることができます。 ●NSFOCUS が誇る脆弱性トラッキング技術により、脆弱性検知の状況がタイムラインで一覧表示されます。すべての監視および修復過程がわかりやすく表示されますので、容易に危険を特定できます。 ●様々な角度から専門的に検証したレポートは、複数のサイトの包括的なリスクレポートやマルチタスク脆弱性の共通点を自動で収集することも可能です。脆弱性はすべて「サイトのリソースツリー」に基づいて表示されます。単一 web サイトレポートトレンドレポート比較レポート〒144-0035 東京都大田区南蒲田2-16-2 電話: 03-5714-2050 http://www.nvc.co.jp/ ※本カタログに記載されているシステム名、製品名、社名などは各社の商標および登録商標です。 ※仕様および型番号などは予告なく変更されることがあります。 (wvss_v1_B55)