東陽テクニカ、ウェブアプリケーション脆弱性検査ツール「Vex」を販売

　株式会社東陽テクニカは10月31日、株式会社ユービーセキュアと代理店契約を締結し、同社が開発するウェブアプリケーション脆弱性検査ツール「Vex」を11月1日から販売すると発表した。

　Vexは、ウェブアプリケーションの脆弱性を動的に検査するDAST（Dynamic Application Security Testing）ツール。ウェブサーバーの外部からの疑似攻撃リクエストを送信し、レスポンスを解析して脆弱性の有無を確認することで、現実的に起こりうる脅威を効率的に見つけ出すことが可能となり、独自の分析アルゴリズムにより、検査対象サイトの種類に関係なく、高い脆弱性検出率を実現する。

　対象のウェブアプリケーションを巡回してサイトに含まれるURLを収集し、画面遷移を最適化したテストシナリオを自動的に作成する。ログインが必要なサイトも認証情報とフォームを設定することで、自動でログインして巡回を行うことが可能。各アプリケーションに合わせて検査プランを調整でき、通常のツールでは対応が難しいサイトでも効率的な診断を実現する。

　また、OWASP TOP10に対応し、ウェブアプリケーションの一般的な脆弱性を網羅するだけでなく、国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性やフレームワーク固有の脆弱性など、アプリケーションに応じた検査も行える。検査レポートは、開発者向けのチェックリストやサイトオーナー向けの詳細レポートなど、用途に応じてさまざまなフォーマットで出力可能で、検査後の対応がスムーズに行える。

　さらに、CIツール連携機能やOpenAPI定義ファイルのインポート機能を搭載し、セキュリティのレベルを落とすことなく、高速なリリースサイクルに対応する「DevSecOps」が実現できるとしている。

　東陽テクニカでは、アプリケーションセキュリティソリューションとして、脆弱性静的解析ツール「Checkmarx CxSAST」、OSSリスク管理ツール「Checkmarx CxOSA」、インタラクティブアプリケーション脆弱性検査ツール「Checkmarx CxIAST」、体験型AppSecマイクロラーニングサービス「Codebashing」とラインアップを増やし、事業の強化を図ってきたが、今回のVexの取り扱いによりフルラインアップが完成し、アプリケーション開発の全ステージにおけるセキュリティソリューションの提案がワンストップでできるようになったとしている。