導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続的に行えます。「手軽」に「何度」でも、充実したセキュリティ対策が内製化できます。
★★★★★
4.5
13件の口コミ・評判
こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
<まずはここから始めよう。ワンストップで実現するセキュリティ対策Securify>
圧倒的なスピード感!手厚いサポート体制で脆弱性診断まで最短2営業日も可能!
「①ドメインの所有確認」→「②プロジェクト作成」→「③URLの登録」の最短3ステップで診断を開始でき、煩雑な事前設定は不要です。診断対象のURLを起点に、クローリングによって自動で診断対象を抽出します。
アカウント提供時に、利用条件のヒアリングや設定・操作方法の案内などのオンボーディングも充実。利用開始後も、画面に常時表示されるアイコンからサポートに問い合わせ可能。マニュアルやFAQも整備されているため、安心して利用できます。
【機能の一部を紹介】
今後も続々と新機能をリリース予定です。
<継続的なツール診断と定期的な手動診断のハイブリッドセキュリティも任せられる>
Securifyシリーズのサービスラインナップへ新たにEGセキュアソリューションズの手動診断を取り入れた「Securify マニュアル脆弱性診断」を追加。
熟練したエンジニアによる高精度な手動診断をセットサービスとして提供します。
自動脆弱性診断ツールSecurify Webアプリケーション診断が提供する効率的かつ定常的なツール診断と、徳丸浩氏が取締役CTOを務めるEGセキュアソリューションズ株式会社の手動診断を組み合わせることで、企業はWebアプリケーションにおけるセキュリティを一層強化することが可能となります。
<Securifyは、セキュリティ対策のワンストップソリューション>
【Webアプリケーション診断】
脆弱性診断ツールとしてWebアプリケーションの継続的セキュリティを簡単に実現。
【SaaS診断】
SaaS上のドライブ内ファイルの公開設定状況を評価し、情報漏洩管理の向上を実現。
【WordPress診断】
攻撃者に攻撃の糸口を与えるようなWordPressの設定を評価し、WordPressのセキュリティ向上へ導く。
シンプルで操作性の高いUIと充実した診断項目、わかりやすいレポートによって、継続的なセキュリティチェックのサイクルを生み出します。
外部のセキュリティベンダーに脆弱性診断を依頼した場合、開発後、即座に脆弱性診断をかけて修正対応するというサイクルは困難です。また、脆弱性診断ツールを自社で運用するとしても設定や運用の難易度が高いことが実情です。
Securifyなら、脆弱性診断から対応までのサイクルを自社でいつでもすぐに簡単に行うことができます。
初心者でもわかりやすい操作感×明確な診断結果=継続的なセキュリティ改善へ
セキュリティエンジニアでなくても、直感的に診断を実施し管理することが可能です。
実際に、情報システム部やセールス部門の担当者が使用するケースもあり、使いやすさに定評があります。現在の診断状況や、発見された脆弱性の件数、危険度が一目で確認できるダッシュボード、診断画面といったユーザーに見やすい設計にもこだわっています。
診断結果では、発見された脆弱性の危険度、脆弱性により起こりうる問題、修正方法の例示を日本語で丁寧に解説します。
更に、Slack連携やTeams連携、レポート出力などの外部連携も備えており、チーム内外へスムーズに共有し脆弱性改修へとつなげることができます。
日常的なモニタリングでセキュリティ品質のベースラインを底上げ!簡単3ステップで使えるSaaS型自動脆弱性診断ツール
株式会社スリーシェイク Incubation事業部 Securifyプロダクトマネージャー
鈴木雄大(すずきゆうた)様
—Securifyはどのようなサービスでしょうか?
自社のプロダクトに対して、手軽に何度でも脆弱性診断の実施を可能にしたSaaS型自動脆弱性診断ツールです。
弊社はもともと、手動の脆弱性診断(マニュアル診断)のサービスを提供しています。そのなかで、開発手法がウォーターフォール型からアジャイル開発へとシフトし、開発の速度とリリースの頻度が高まっていく状況に触れ、コストも時間もかかってしまう従来型の手動診断に限界を感じていました。
更に、セキュリティエンジニアが使用するツールは専門性が高いため、アプリケーションの開発の現場で使えるようになっていませんでした。アプリケーションエンジニアの方が、開発の現場でいつでもスピーディーかつ手軽に診断ができるツールが必要だろうと、Securifyを開発しました。
たとえば、マカフィーのようなウイルスソフトは、インストールするとデバイスの電源が入っている間は常に監視し続けて、何か問題があればアラートをあげてくれますよね。これまでの手動の脆弱性診断は、頻繁に実施することはできませんでしたが、Securifyを使うことで、脆弱性診断を手軽にかつ定常的に実行し、プロダクトのベースラインのセキュリティ品質を担保することができるようになります。Securifyは継続的セキュリティの実現を目指しています。
―サービスの強みを教えてください。
まず、診断の設定及びツールの運用が楽に、簡単にできるというところがSecurifyの最大の強みです。他社サービスの場合、診断を開始するまでに初期設定やシナリオ設定をはじめとした複雑な手順を踏む必要があります。Securifyの場合、【①ドメインの所有確認→②プロジェクト作成→③URLの登録】という診断開始まで最短3ステップ、わずか数分で診断が開始できます。
―シナリオ設定などに時間を要するイメージがありますが、それが不要なのですね。
詳細にシナリオを設定した方が細かく確認できるメリットがありますが、シナリオ設定を楽にする機能を加えたとしても、どうしても設定と運用の負担が大きくなってしまいます。Securifyでは、できるだけ手間をかけずに実行できることが重要と考え、URLを指定しさえすれば、そのURL配下のページを自動で探索して、診断できるようにしています。
―それだと気軽に利用できますね。
もう一点、診断結果のわかりやすさも特長です。スマートなデザインで診断結果が視覚的にわかりやすく表示されるため、お客さまからも「見やすい」「かっこいい」とおっしゃっていただけることが多いです。
また、セキュリティには詳しくないアプリケーションエンジニアの方でも診断結果が見やすいように、診断結果の表示方法にもこだわりました。私は前職がアプリケーションエンジニアで、手動の脆弱性診断を業者に依頼したことがあります。結果は脆弱性ありとの診断でしたが、私がセキュリティに詳しくないために、何をどう対応すればいいのかわかりませんでした。そういう労苦を、Securifyによって解消していければと思っています。
Securifyは、たとえばSQLインジェクションという脆弱性が発見された場合、それがどんな攻撃手法でどのような影響を及ぼすのかを、修正のサジェスチョンとあわせて診断結果を表示します。そのサジェスチョンでは、修正方法のヒントになるよう、具体的な修正例を記載しています。合わせて危険度もCRITICAL・HIGH・MEDIUM・LOWに、INFO加えた5段階で表示されるため、優先順位を考えて修正を進めることができます。
—マッチしやすい業界や企業規模とともに、理想的な使い方を教えてください。
業界・規模問わず、自社プロダクト、受託・保守運用を問わず、開発を行っているすべての企業様にご活用いただけるはずです。
アプリケーションエンジニアの方は機能の開発・リリースに主眼を置きがちなため、セキュリティに関しては後回しになりがちです。従来型の手動診断の場合、見積もりをとって診断を依頼し、更にそこから時間がかかるため、開発のスピード感には合いません。アプリケーションエンジニアの方たちが、自分たちでつくったものの脆弱性を、自分たちで手軽に診断できるようになればと思っています。
また、SRE(Site Reliability Engineering)の方にもお使いいただけるでしょうし、プロジェクトマネージャーやシステムを担当している社内情報システムの方も、ダッシュボードで脆弱性の件数をモニタリングして、状況の推移を確認するという使い方が適していると思います。
とはいえ、Securifyが万能というわけではなく、手動の脆弱性診断だからこそできることもあります。Securifyで日常的に診断を行い、ベースラインとしてのセキュリティを担保しながら、監査や大規模改修といった特別なタイミングで年に数回手動診断を行うというハイブリッドな活用方法が理想的だと思います。
―お客様が導入する決め手になるのはどのようなポイントでしょうか?
セキュリティの専門知識がなくても、簡単に脆弱性診断ができる、というところが大きいように思います。試しに使っていただくと、「デザインがわかりやすく、簡単にできるし、自動でやってくれるので便利」というお声をいただきます。手軽に診断ができるので、お客様によっては、日次や週次で診断を自動でかけておられる方もいらっしゃいます。
—導入時などのサポートは行っていますか?
はい。ご要望があれば診断方法のレクチャーから、Slackやメールで診断結果を受け取る設定までお手伝いさせていただきます。また、利用マニュアルにFAQを含んだものもご提供しています。とにかく簡単であることをコンセプトにしているため、これまでに導入いただいたお客さまからはほとんど質問や問い合わせはなく、基本的には使いこなしていただけているようです。
―導入後に大きな成果が出たお客様の事例があれば教えてください。
自社サービスを展開しているお客様が、積極的にSecurifyをご利用いただいています。お客様のユーザーからは、高いセキュリティを求められますが、手動の脆弱性診断は費用と時間がかさむため、そんなに頻繁には実施できません。
自社サービスとして月1回ペースでサービスをリリースしていく場合、毎回手動の脆弱性診断をかけていたら、多額のお金が飛んでいってしまいます。もっと手軽に、頻繁に脆弱性診断を実施したいということでSecurifyを導入していただき、セキュリティ品質の担保も両立されています。
—今後、注力していきたいことを教えてください。
診断結果の見やすさ・わかりやすさに更に磨きをかけ、追求していきたいのと、Securify本体の診断としての価値を高めていきたいです。
後者については大きく2つあります。ひとつは、診断結果の誤検知や対応済みのステータスを管理できるようにして、「診断→結果確認→対応」のサイクルを一巡できるようにしていきたいです。もうひとつは、診断機能についてで、ユーザー自身が認証処理を記述して、より柔軟に認証設定をできるようにしていきたいです。そうすることでSecurifyの利便性を更に高め、自社で作ったプロダクトを自分たちが定常的に評価し続けていくという考え方を広く浸透させていきたいです。
| 会社名 | 株式会社スリーシェイク |
| 代表者名 | 吉田 拓真 |
| 所在地 | 〒160-0015 東京都新宿区大京町22-1 グランファースト新宿御苑3F・4F |
こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
IT管理者
投稿日:2024/05/30
氏名:非公開
会社名:jinius株式会社
従業員規模:1〜30人
★★★★★ 5.0
使いやすさ ★★★★★
業務貢献度 ★★★★★
機能への満足度 ★★★★★
はじめやすさ ★★★★★
価格の妥当性 ★★★★★
自社サービス販売にあたり、導入先企業から脆弱性診断の実施はほぼ必ず求められるため、契約を取るために必須でしたが、これを低コストで解決できました。
とにかくコストが抑えられるのが良いと思います。 価格もそうですが、管理画面上から簡単に診断実行可能なため、高度な知識がない人員でも使うことができます。 また診断回数に制約がないため、開発時に普段から診断をしておけば、開発終盤になってからの大きな手戻りや追加工数の発生も抑えられるかと思います。
特に問題があるわけではありませんが、SPAで画面の状態が複雑に変化する場合にクローラーが追いきれていないところでしょうか。カバレッジを気にする場合は別途カスタマイズを用意する必要があるため、そこに工数がかかってしまう可能性があります。 ただ、Chromeのレコーディング機能を使って操作を再現しながら診断することもできるので、そこまで難しくもないとは思います。
IT管理者
投稿日:2024/05/14
氏名:非公開
会社名:株式会社HANATOUR JAPAN
従業員規模:31〜100人
★★★★★ 4.0
使いやすさ ★★★★★
業務貢献度 ★★★★★
機能への満足度 ★★★★★
はじめやすさ ★★★★★
価格の妥当性 ★★★★★
B2B2Cサイトを運営している中で、セキュリティ面での脅威に対応できていなかった。 製品を導入したことで、サイトの脆弱性が見える化でき、開発からリリース時点ではチェックが完全でなかった点が大幅に改善した。
開発、保守改修を海外拠点で実施していることもあり、言語などの問題もありブラウザベースでの実行環境を提供できることは非常に良かった。
まだ、利用してまもないこともあり、指摘できるところまでは行き着いていない。今後利用していく中で気づいた点などはサポートに依頼をしていきたい。
IT管理者
投稿日:2024/05/14
氏名:非公開
会社名:株式会社HANATOURJAPAN
従業員規模:31〜100人
★★★★★ 4.0
使いやすさ ★★★★★
業務貢献度 ★★★★★
機能への満足度 ★★★★★
はじめやすさ ★★★★★
価格の妥当性 ★★★★★
B2B2Cのサイトを運営しており、機能追加、製品改修などを繰り返していく中で、セキュリティ脆弱性を把握するにも高額なツールやワンショットでのセキュリティ診断には慎重になっていたが、プログラムのリリース前に何度でも利用できるツールとしては初めて導入。
セキュリティ知識の少ない開発者でも、グラフ化など修正箇所の指摘も見やすい。改修⇒リリースが多い時など気軽に利用できる点。
・多言語化:せめて英語。改修をベトナムに委託しているため、現地の開発者が日本語表記をDeepLなどを利用して英語化。ある程度ニュアンスは伝わってはいるので、問題はないが…。 ・時刻の表記:日本で実施した時間が、現地で見ると現地時間(現地のクライアント端末の時間)を表記しており、サーバなどの時刻など統一してほしい。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
