サービス概要

＜まずはここから始めよう。ワンストップで実現するセキュリティ対策Securify＞
圧倒的なスピード感！手厚いサポート体制で脆弱性診断まで最短2営業日も可能！

• URLを入力するだけで手軽に何度でも脆弱性診断

「①ドメインの所有確認」→「②プロジェクト作成」→「③URLの登録」の最短3ステップで診断を開始でき、煩雑な事前設定は不要です。診断対象のURLを起点に、クローリングによって自動で診断対象を抽出します。

アカウント提供時に、利用条件のヒアリングや設定・操作方法の案内などのオンボーディングも充実。利用開始後も、画面に常時表示されるアイコンからサポートに問い合わせ可能。マニュアルやFAQも整備されているため、安心して利用できます。

【機能の一部を紹介】

• API診断
  APIのみを公開しているサービスやバックエンドのみを診断可能。
• 診断予約
  定期的に診断を実行する定期実行機能により継続的なセキュリティ対策へ。
• ログイン設定（レコーダー認証）
  認証が存在するWebアプリケーションの診断も可能。
• APIによる診断実行機能
  CI/CDツールとAPI連携することで、CI/CDパイプラインにセキュリティ診断を組み込み、セキュリティテストの自動化を実現。

今後も続々と新機能をリリース予定です。

＜継続的なツール診断と定期的な手動診断のハイブリッドセキュリティも任せられる＞

• AIツールと熟練したエンジニアの組み合わせが可能

Securifyシリーズのサービスラインナップへ新たにEGセキュアソリューションズの手動診断を取り入れた「Securify マニュアル脆弱性診断」を追加。

熟練したエンジニアによる高精度な手動診断をセットサービスとして提供します。

自動脆弱性診断ツールSecurify Webアプリケーション診断が提供する効率的かつ定常的なツール診断と、徳丸浩氏が取締役CTOを務めるEGセキュアソリューションズ株式会社の手動診断を組み合わせることで、企業はWebアプリケーションにおけるセキュリティを一層強化することが可能となります。

＜Securifyは、セキュリティ対策のワンストップソリューション＞
【Webアプリケーション診断】
脆弱性診断ツールとしてWebアプリケーションの継続的セキュリティを簡単に実現。
【SaaS診断】
SaaS上のドライブ内ファイルの公開設定状況を評価し、情報漏洩管理の向上を実現。
【WordPress診断】
攻撃者に攻撃の糸口を与えるようなWordPressの設定を評価し、WordPressのセキュリティ向上へ導く。

シンプルで操作性の高いUIと充実した診断項目、わかりやすいレポートによって、継続的なセキュリティチェックのサイクルを生み出します。

外部のセキュリティベンダーに脆弱性診断を依頼した場合、開発後、即座に脆弱性診断をかけて修正対応するというサイクルは困難です。また、脆弱性診断ツールを自社で運用するとしても設定や運用の難易度が高いことが実情です。

Securifyなら、脆弱性診断から対応までのサイクルを自社でいつでもすぐに簡単に行うことができます。

主なポイント

初心者でもわかりやすい操作感×明確な診断結果＝継続的なセキュリティ改善へ

• シンプルで、直感的！使いやすい操作画面

セキュリティエンジニアでなくても、直感的に診断を実施し管理することが可能です。

実際に、情報システム部やセールス部門の担当者が使用するケースもあり、使いやすさに定評があります。現在の診断状況や、発見された脆弱性の件数、危険度が一目で確認できるダッシュボード、診断画面といったユーザーに見やすい設計にもこだわっています。

• 明確な結果レポートで脆弱性を改善

診断結果では、発見された脆弱性の危険度、脆弱性により起こりうる問題、修正方法の例示を日本語で丁寧に解説します。

更に、Slack連携やTeams連携、レポート出力などの外部連携も備えており、チーム内外へスムーズに共有し脆弱性改修へとつなげることができます。

インタビュー

日常的なモニタリングでセキュリティ品質のベースラインを底上げ！簡単3ステップで使えるSaaS型自動脆弱性診断ツール

株式会社スリーシェイク Incubation事業部 Securifyプロダクトマネージャー
鈴木雄大（すずきゆうた）様

—Securifyはどのようなサービスでしょうか？

自社のプロダクトに対して、手軽に何度でも脆弱性診断の実施を可能にしたSaaS型自動脆弱性診断ツールです。

弊社はもともと、手動の脆弱性診断（マニュアル診断）のサービスを提供しています。そのなかで、開発手法がウォーターフォール型からアジャイル開発へとシフトし、開発の速度とリリースの頻度が高まっていく状況に触れ、コストも時間もかかってしまう従来型の手動診断に限界を感じていました。

更に、セキュリティエンジニアが使用するツールは専門性が高いため、アプリケーションの開発の現場で使えるようになっていませんでした。アプリケーションエンジニアの方が、開発の現場でいつでもスピーディーかつ手軽に診断ができるツールが必要だろうと、Securifyを開発しました。

たとえば、マカフィーのようなウイルスソフトは、インストールするとデバイスの電源が入っている間は常に監視し続けて、何か問題があればアラートをあげてくれますよね。これまでの手動の脆弱性診断は、頻繁に実施することはできませんでしたが、Securifyを使うことで、脆弱性診断を手軽にかつ定常的に実行し、プロダクトのベースラインのセキュリティ品質を担保することができるようになります。Securifyは継続的セキュリティの実現を目指しています。

―サービスの強みを教えてください。

まず、診断の設定及びツールの運用が楽に、簡単にできるというところがSecurifyの最大の強みです。他社サービスの場合、診断を開始するまでに初期設定やシナリオ設定をはじめとした複雑な手順を踏む必要があります。Securifyの場合、【①ドメインの所有確認→②プロジェクト作成→③URLの登録】という診断開始まで最短3ステップ、わずか数分で診断が開始できます。

―シナリオ設定などに時間を要するイメージがありますが、それが不要なのですね。

詳細にシナリオを設定した方が細かく確認できるメリットがありますが、シナリオ設定を楽にする機能を加えたとしても、どうしても設定と運用の負担が大きくなってしまいます。Securifyでは、できるだけ手間をかけずに実行できることが重要と考え、URLを指定しさえすれば、そのURL配下のページを自動で探索して、診断できるようにしています。

―それだと気軽に利用できますね。

もう一点、診断結果のわかりやすさも特長です。スマートなデザインで診断結果が視覚的にわかりやすく表示されるため、お客さまからも「見やすい」「かっこいい」とおっしゃっていただけることが多いです。

また、セキュリティには詳しくないアプリケーションエンジニアの方でも診断結果が見やすいように、診断結果の表示方法にもこだわりました。私は前職がアプリケーションエンジニアで、手動の脆弱性診断を業者に依頼したことがあります。結果は脆弱性ありとの診断でしたが、私がセキュリティに詳しくないために、何をどう対応すればいいのかわかりませんでした。そういう労苦を、Securifyによって解消していければと思っています。

Securifyは、たとえばSQLインジェクションという脆弱性が発見された場合、それがどんな攻撃手法でどのような影響を及ぼすのかを、修正のサジェスチョンとあわせて診断結果を表示します。そのサジェスチョンでは、修正方法のヒントになるよう、具体的な修正例を記載しています。合わせて危険度もCRITICAL・HIGH・MEDIUM・LOWに、INFO加えた5段階で表示されるため、優先順位を考えて修正を進めることができます。

—マッチしやすい業界や企業規模とともに、理想的な使い方を教えてください。

業界・規模問わず、自社プロダクト、受託・保守運用を問わず、開発を行っているすべての企業様にご活用いただけるはずです。

アプリケーションエンジニアの方は機能の開発・リリースに主眼を置きがちなため、セキュリティに関しては後回しになりがちです。従来型の手動診断の場合、見積もりをとって診断を依頼し、更にそこから時間がかかるため、開発のスピード感には合いません。アプリケーションエンジニアの方たちが、自分たちでつくったものの脆弱性を、自分たちで手軽に診断できるようになればと思っています。

また、SRE（Site Reliability Engineering）の方にもお使いいただけるでしょうし、プロジェクトマネージャーやシステムを担当している社内情報システムの方も、ダッシュボードで脆弱性の件数をモニタリングして、状況の推移を確認するという使い方が適していると思います。

とはいえ、Securifyが万能というわけではなく、手動の脆弱性診断だからこそできることもあります。Securifyで日常的に診断を行い、ベースラインとしてのセキュリティを担保しながら、監査や大規模改修といった特別なタイミングで年に数回手動診断を行うというハイブリッドな活用方法が理想的だと思います。

―お客様が導入する決め手になるのはどのようなポイントでしょうか？

セキュリティの専門知識がなくても、簡単に脆弱性診断ができる、というところが大きいように思います。試しに使っていただくと、「デザインがわかりやすく、簡単にできるし、自動でやってくれるので便利」というお声をいただきます。手軽に診断ができるので、お客様によっては、日次や週次で診断を自動でかけておられる方もいらっしゃいます。

—導入時などのサポートは行っていますか？

はい。ご要望があれば診断方法のレクチャーから、Slackやメールで診断結果を受け取る設定までお手伝いさせていただきます。また、利用マニュアルにFAQを含んだものもご提供しています。とにかく簡単であることをコンセプトにしているため、これまでに導入いただいたお客さまからはほとんど質問や問い合わせはなく、基本的には使いこなしていただけているようです。

―導入後に大きな成果が出たお客様の事例があれば教えてください。

自社サービスを展開しているお客様が、積極的にSecurifyをご利用いただいています。お客様のユーザーからは、高いセキュリティを求められますが、手動の脆弱性診断は費用と時間がかさむため、そんなに頻繁には実施できません。

自社サービスとして月1回ペースでサービスをリリースしていく場合、毎回手動の脆弱性診断をかけていたら、多額のお金が飛んでいってしまいます。もっと手軽に、頻繁に脆弱性診断を実施したいということでSecurifyを導入していただき、セキュリティ品質の担保も両立されています。

—今後、注力していきたいことを教えてください。

診断結果の見やすさ・わかりやすさに更に磨きをかけ、追求していきたいのと、Securify本体の診断としての価値を高めていきたいです。

後者については大きく2つあります。ひとつは、診断結果の誤検知や対応済みのステータスを管理できるようにして、「診断→結果確認→対応」のサイクルを一巡できるようにしていきたいです。もうひとつは、診断機能についてで、ユーザー自身が認証処理を記述して、より柔軟に認証設定をできるようにしていきたいです。そうすることでSecurifyの利便性を更に高め、自社で作ったプロダクトを自分たちが定常的に評価し続けていくという考え方を広く浸透させていきたいです。

料金

• お問い合わせください。
  ※無料プランもあり。

会社概要

資料ダウンロード

• 

  サービスの詳しい情報をチェック！

  Securify（セキュリファイ）

  資料をダウンロードする(無料)

• 

  複数のサービスを比較できる！

  カンタン30秒一括資料ダウンロード

  すべての資料をダウンロードする(無料)