LoginSignup
0

More than 1 year has passed since last update.

posted at

updated at

第1回「AeyeScanの使い方」

title1.png

SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

2022-155641.png

こんにちは。株式会社エーアイセキュリティラボのインターン兼東京大学大学院生の大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOpsなどを紹介していきます。

第1回目「AeyeScanの使い方」は以下のような内容でお送りします!

目次

■脆弱性診断とは
■AeyeScanの紹介
■AeyeScanを使ってみた
・スキャン新規作成
・スキャン実行
・レポートの出力
■おわりに

■脆弱性診断とは

まず、そもそも脆弱性とは何かについてです。
脆弱性は、ソフトウェアやWebサイトなどのシステムに存在するセキュリティの不具合のことです。

システムに脆弱性が存在すると個人情報の流出、サイト内容の改ざんなどが行われ、自分のみならず他人にも被害が及ぶ可能性があります。

脆弱性診断とは、攻撃者の立場からシステムに疑似的な攻撃を行い、システムに脆弱性がないか確認することです。

■AeyeScanの紹介

AeyeScanとは株式会社エーアイセキュリティラボが開発したクラウド型のWebアプリケーション脆弱性診断ツールです。
image1.PNG

AeyeScanを利用すれば、ブラウザからアクセスして診断対象のURLを登録するだけで初心者でも簡単にWebアプリケーションの脆弱性診断を行えます。診断の様子は画面遷移図で表されます。

AeyeScanの特徴の1つに、ログインや注文などの入力フォームをAIにより自動で入力できることがあります。この自動入力とRPA(Robotic Process Automation)によるサイトの自動操作の組み合わせにより、一度診断を始めると途中で手動の操作を行うことなく自動で診断を進めることができます。

診断終了後には、診断結果のレポートを自動で生成してダウンロードすることも可能です。また、Webサイトの画面遷移図を生成し脆弱性が存在する箇所を可視化することもできます。

image2.png

■AeyeScanを使ってみた

では、実際にAeyeScanを使った脆弱性診断を実行していきます!

・スキャン新規作成

まず、スキャンの新規作成を行います。
ここでは、診断対象のサイトのURLと名称を入力します。
今回はサイト名称を「デモサイト」としました。
image3.png

ログインが必要なサイトの場合はログインIDとパスワードをここに入力しましょう。
ここで認証情報を登録しておけば診断時にAeyeScanが自動でログイン画面のフォームを入力し、ログイン後の画面の診断を行うことができます。
image4.png

診断の準備はこれでOKです。

・スキャン実行

早速スキャンを開始していきましょう。
スキャンを作成すると以下のような画面が表示されるので、ここで再生ボタンをクリックするとスキャンが開始されます。
image5.png

後はスキャン終了まで待つだけでOKです。

スキャンの様子は以下のような画面遷移図で表示されます。
AeyeScanはサイトの画面を自動で収集し、収集した画面に脆弱性診断を行います。
こちらの画面遷移図が画面の自動収集の様子を表しています。
image6.gif

・レポートの出力

スキャンが終了したら診断結果のレポートを自動生成してPDFに出力することもできます。
下図は実際に出力されたレポートの一部となります。

image6.png
image7.png

出力されるレポートは脆弱性のリスク判定の共通フォーマットCommon Vulnerability Scoring System(CVSS)(※1)や、セキュリティガイドラインApplication Security Verification Standard(ASVS)(※2)、OWASP Top10(※3) 、安全なWebサイトの作り方(※4) に対応しています。

■おわりに

今回はAeyeScanで実際に脆弱性診断を行う手順を紹介しました。
全体的にGUIや誘導がわかりやすく、初心者でも簡単に診断が実行できると思います!
次回はAeyeScanによる診断実行をCIツールで自動化することについてお送りします!

AeyeScanのトライアルはこちら

※1 Common Vulnerability Scoring System(CVSS):
https://www.ipa.go.jp/security/vuln/CVSSv3.html
※2 Application Security Verification Standard(ASVS):
https://www.saj.or.jp/NEWS/pr/200903_asvs.html
※3 OWASP Top 10
https://github.com/owasp-ja/Top10/blob/master/2017/ja/OWASP%20Top%2010-2017(ja).pdf
※4 安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html

2022-155641.png

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0