ニュース

HTML5起因の脆弱性も検出、Webアプリ脆弱性検査ツール「VEX 5.0」

 株式会社ユービーセキュアは7日、Webアプリ脆弱性検査ツールの新版「VEX 5.0」を発売した。HTML5起因の脆弱性を検出可能となった。価格は初年度260万円(税別)から。

 VEXは、ユービーセキュア独自開発のWebアプリ脆弱性検査ツール。新版ではHTML5に対応した。HTML5は、スマートフォンやPCなどのデバイス種別に関係なく、利便性の高いWebアプリを開発するための新しいWeb標準仕様。関連技術と組み合わせることで、操作性や表現力豊かなWebアプリを短期間で開発できる。

 一方、HTML5の技術が攻撃者に悪用された場合、利用者が受ける被害について、開発の認識が十分浸透しているとは言えず、今後Webアプリの新たなセキュリティリスクとして対応する必要があるという。

 今回のHTML5利用に起因する脆弱性検出機能では、HTML5に追加・機能拡張されたHTML要素におけるクロスサイトスクリプティング、パラメータの改ざんの脆弱性を検知可能。また、HTML5における下記セキュリティ機能の設定の有無を検出する。

・CORS (Cross-Origin Resource Sharing)
・Strict-Transport-Security ヘッダ
・CSP (Content Security Policy)
・X-Content-Type-Options ヘッダ
・X-Frame-Options ヘッダ
・X-Download-Options ヘッダ
・X-XSS-Protection ヘッダ
・iframe sandbox

 今後もJavaScript(WebSocketなど)やHTML利用に起因する脆弱性をより幅広く検知できるよう機能強化を図っていく。

 このほか新版では、脆弱性検出結果の詳細が記載されたレポートと、脆弱性がリストされたレポートの英語出力に対応。海外拠点のセキュリティ監査、外資系企業を顧客に持つITセキュリティベンダーを支援するという。

 価格は初年度260万円(税別)から。現ユーザーはアップデートすることで今回の新機能をそのまま利用できる。

川島 弘之