VAddy|インタビュー掲載

株式会社ビットフォレスト

セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。

資料ダウンロード

サービス概要

VAddyは、セキュリティの知識がない方でも今日から手軽に脆弱性検査を行うことのできるクラウド型Webアプリケーション脆弱性診断ツールです。

一般的に脆弱性診断ツールは、事前設定・検査実行・レビューの各段階で膨大な時間とスキルを必要としますが、VAddyは人工知能の技術を活用することで、複雑な設定項目の省略を実現。利用は簡単で、以下の3ステップのみ。「専門知識がない」「セキュリティ診断の経験がない」という方でも手軽に脆弱性診断を行うことができます。

VAddyは、セキュリティの知識がない方でも今日から手軽に脆弱性検査を行うことのできるクラウド型Webアプリケーション脆弱性診断ツールです

ステップ1:アカウントを作成。利用中のWebブラウザから手軽に脆弱性検査がはじめられます。
ステップ2:スキャンボタンをクリック。スキャンサーバーは対象アプリケーションに検査リクエストを送信して脆弱性の有無を判別。
ステップ3:レポート。脆弱性が発見されたら修正して再スキャン。Web-APIを使えば検査を定期・自動実行することも可能。

一般的な機能や構成を持つWebアプリケーションはすべて検査可能。ログイン機能があるアプリケーションでも追加料金はかかりません。
一つの契約で3つのFQDN(ドメイン)を検査対象として登録でき、更にそれらのサーバーに検査を実行するユーザーを無料で紐付けることもできます。

 

主なポイント

  • 10年以上に及ぶ「日本一」の実績を支えた技術・知見が凝縮

VAddyの開発・運用を行っているのは、2010年より12年連続、国内SaaS型WAF市場においてシェアNo.1(※)を獲得している同社のクラウド型WAF「Scutum」の開発/運用チーム。長年のWAFの運用経験で培われた技術・知見がVAddyにも投入されています。
※富士キメラ総研刊「2022ネットワークセキュリティビジネス調査総覧」、株式会社アイ・ティ・アール「ITR Market View: サイバー・セキュリティ対策2022」より

  • 100%自社開発ならではの充実のサポートあり

利用開始までの手順をより詳細に解説した「スタートアップガイド」、日々アップデートされるFAQやおすすめの利用方法など有用な情報を掲載した「サポートサイト」、その他、緊急度や質問内容に応じて、複数のサポート窓口を用意しています。たとえば、操作中に困った時Webサイト画面上の「チャットサポート」に質問すれば、サポートスタッフが5分以内を目標にスピード対応。また、操作の説明、契約のご相談、デモなど、お客様の相談内容に合わせた「個別相談会」も実施しています。

  • 利用シーンに合わせて無駄なく利用可能

料金は「検査一回につきいくら」ではなく、月額固定のため、何度も脆弱性診断を実施可能。また、企業の利用シーンに合わせて様々な料金プランを用意しているため、無駄なく利用できるのもポイントです。
「万全を期してすべての項目を確認したい」→Enterpriseプラン(診断11項目)
「必要最低限の診断ができればいい」→Professionalプラン(診断5項目)
「まずはお気軽にお試ししたい」→Starterプラン(診断2項目)
月額契約の場合、1カ月単位でのアップグレード/ダウングレードが可能。また、「診断を実施するタイミングだけ契約する」という使い方も可能です。

 

インタビュー

誰でも簡単。その日から使える。脆弱性診断をもっと多くの方に

株式会社ビットフォレスト 取締役 西野 勝也様(左) 取締役 CTO 市川 快様(右)

株式会社ビットフォレスト 取締役 西野 勝也様(左) 取締役 CTO 市川 快様(右)

―VAddyは、どのようなツールですか?

Webサービスの構造を調べてセキュリティの弱い部分を見つけ出す、クラウド型の脆弱性診断ツールです。

開発の経緯は、私たちがWeb開発事業に携わっていた2010年頃にさかのぼります。開発工程で脆弱性を漏れなく診断できるツールが欲しいと考えていたものの、当時、市場に出回っていたツールの多くはどれも高額で、とても開発費用に見合うとは思えませんでした。

また、開発現場は短い周期でサービスリリースを求められる場合が多いにもかかわらず、診断の事前設定に膨大な時間がかかったり、セキュリティエンジニアなど専門知識を持った人でしか使いこなせなかったりして、使い勝手に課題を感じるものばかりでした。

そこで、既存のツールで対応できないなら「自分たちで手軽に利用できる脆弱性診断ツールを作ればいい」ということになり、2014年からVAddyの開発に乗り出したわけです。

―開発に当たっては、どのような点にこだわったのでしょうか?

「設定ゼロ」で、誰でもすぐに使える自動化ツールです。

たとえば、セキュリティエンジニアが既存のツールで脆弱性診断を行う場合、アプリケーションの特徴や画面構成などを把握して、それに合わせた設定を行う必要があります。なので、通常は事前にセキュリティエンジニア(診断会社)から開発側へのヒアリングが行われます。

VAddyでは、こういった診断の専門家でしかできなかったような作業を補完するために、AI(人工知能)を搭載。いわゆる「設定」と呼ぶような作業をゼロにして最低限の操作だけでの脆弱性診断を実現しました。たとえば検査の途中でセッションが切れてログアウトしてしまった場合でも、それを検知した検査サーバーが自動的にログインし直して検査を継続するといった動きをします。従来では人がセッション切れを判別してログインし直して検査を続ける必要がありましたが、VAddyではこのような判断の多くを機械ができるようにしていきました。

また、日々の開発で重視しているのが「検査できるアプリケーションの幅」です。β版リリースから約8年間、お客さまからいただくフィードバックを反映した開発を行っています。正直リリース当初はきちんと検査できないアプリケーションも少なからずありました。大変ありがたいことにデバッグにご協力いただくお客さまが多くいらっしゃって、その方々のご協力を得ながら検査できるアプリケーションの種類が増えてきたという経緯もあります。おかげで今では一般的な作りのアプリケーションであれば検査できるようになったと思います。

―その他に、VAddyならではの特長と言えるものはありますか?

他社製品に比べて、セキュリティ診断項目を最大11種類と少なく絞っていることです。

一見、診断できる項目が多いほど安全で確実だと思われるかもしれませんが、その分、診断に膨大な時間がかかり、誤検知の発生リスクも高くなってしまいます。その点、VAddyは「ここは絶対に抑えておいた方がいい」というように検査項目を絞ることで、無駄なく確実に診断サイクルを回せる設計にしています。

これができるのは、弊社に長年の運用実績があるからです。またVAddy以外にも、自社製のWAF(「Scutum」)を運用しており、「どういう風に攻められることが多いのか」その傾向をつかんでいるのも大きいです。

最近も、導入企業様から「ほかのツールと比較して、エラーで弾かれず最後まで診断できたのはVAddyだけだった」というお話もいただきます。弊社の強みがあらわれていますし、診断項目の多さがすべてではないことを、ご認識いただけると思います。

―導入も簡単で、アカウントを開設すればその場ですぐ診断を実行できると聞きました。

はい。他社製品の場合、まずお問い合わせをして、それから説明を受けて、デモ画面を見てから利用開始という場合が多いと思いますが、VAddyは専用のWebサイトでアカウントを作成してサインアップいただければ、誰でも今すぐ診断可能です。使いこなすための事前レクチャーやトレーニングを受ける必要がなく、直感的に操作できるUIも好評いただいています。
早い方ですとアカウント作成から検査完了まで数十分で終わっている場合もあります。

―導入企業の特徴を教えてください。

一番多くご利用いただくのは、Webサービス関連事業を展開する企業様です。そうした企業様は機能追加や改修頻度が高いのですが、予算やスケジュールの関係で毎回手動診断を実施できません。その点VAddyを使うと小さな機能追加であっても「診断を行ってからリリースする」というサイクルを作ることができます。また、年に一回の定期診断だけでは不安というお客さまにも重宝いただいています。企業規模は、中小企業様から大規模なSler様まで幅広いです。

リリース当初は、もっぱら開発部門での使用を想定していたのですが、近年は情報システム部門など、開発に直接関わりのない部門のお客さまにもお使いいただいています。これは「誰でも使えるツール」として少しずつ認知が広がった結果だと思いますので、ありがたいですね。

―どのような目的で利用されるお客さまが多いのでしょうか?

最近は「シングルサインオン」に対応した診断ツールを求めてご利用いただくケースが増えています。シングルサインオンを実現する「Amazon Cognito」や「Azure Active Directory B2C」などのIDaaSに対応できるツールは、まだ少ないようです。

その他では、受託開発したシステムの納品直前に、クライアントから急遽「脆弱性診断を実施してほしい」と要望を受けたお客さまが、急いで利用されるパターンも多いです。前述した通り、VAddyはデモや問い合わせの必要がなく、アカウントを作ったら即診断をかけられるため、駆け込み寺のようにお使いいただいています。

その他には、年1回定期的に手動の診断サービスを実施している企業様が、その間に追加した機能をチェックする目的でスポット的にVAddyをご契約いただくこともありますね。

―導入後のサポート体制などで力を入れている点があったら教えてください。

オンラインマニュアルや、サポートサイト内のFAQは随時アップデートして、お客さまがすぐに課題を解決できる環境を整えています。

もちろん、有人のチャットサポート体制もありますので、操作中わからないことや困ったことにはすぐお答えします。特徴として、チャットサポートはVAddyの開発チームも担当しており、実際にVAddyを作っているメンバーが対応するため、的確な回答をタイムラグなく提示できています。オンラインでの個別相談会も開発チームが対応しますので、お気軽にご連絡いただければと思います。

―お客さまからいただいたお声で、印象的なものあれば教えてください。

とある大手のWeb制作会社様です。「自社の制作物をすべて診断してから納品したい」といった要望を抱えており、VAddyを全社で導入いただき、現場の部門ごとにVAddyを通してから納品するサイクルを作り上げたとのこと。VAddyが誰でも使えるツールとして活躍していることがわかる、嬉しいお声でした。

また、これまで手動診断を実施していたお客さまからVAddyの精度の高さを評価いただけたのは嬉しいですね。当初は診断項目の少なさに不安を感じられたようですが、実際に運用いただき「脅威への対策としては十分」と評価いただいています。

―今後、実現していきたいことを教えてください。

引き続き、誰にでも簡単に使える脆弱性診断ツールを目指していきます。

近年は、新しいものを取り入れてサービスの改善に励む企業も多いと思いますが、私たちは、安易に機能をアドオンすることには慎重です。余計な機能を追加したがゆえに、使いづらくなってしまったら元も子もないからです。新機能の追加を検討するときは「本当にユーザーが喜ぶのか」といった視点で密に議論を交わし、使い勝手を損ねないことを重視しています。

その分、お客さまのサポートには力を入れ続けていきます。チャットで問い合わせがあれば即返信するのはもちろん、サポートサイトもこまめに更新する。そういう姿勢を、これからも大切にしたいです。「脆弱性診断に困ったら、まずはVAddyに頼ってみよう」といった存在を目指せれば理想ですね。

こちらのインタビューは2023年2月に公開しており、記載されている情報が異なる場合がございます。

 

料金

  • Advancedプラン/月額99,800円
  • Enterpriseプラン/月額59,800円
  • Professionalプラン/月額19,800円

VAddy_料金表

 

会社概要

会社名 株式会社ビットフォレスト
代表者名 高尾 都季一
資本金 1,000万円
所在地 〒101-0054 東京都千代田区神田錦町1-17-5 Daiwa神田橋ビル8F

 

資料ダウンロード

記事をシェア

  • Twitter
  • Facebook
  • LINE

サービスについて


このサービスはまだ口コミ投稿はありません。

レビューを書いてみませんか?

製品に関するあなたの意見や感想を自由に公開できます。サービス向上に役立つ、さまざまな意見や感想を投稿してください。



CLOSE
ログイン

<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。

会員パスワード変更

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

再設定依頼メール送信完了

パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。

メールが届かない場合

ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE
登録完了

ご登録いただき、ありがとうございました。
資料ダウンロードを選んだ方は、送信されたメールのURLをクリックして資料をダウンロードしてください。

CLOSE
更新完了

登録内容を変更しました。

CLOSE
アンケートにご回答ください。

サービスの導入検討状況を教えて下さい。

本資料に含まれる企業(社)よりご案内を差し上げる場合があります。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提携会社」に対して電子データにて提供いたします。
  • 利用規約プライバシーポリシーに同意の上、ダウンロードいただきます。
CLOSE
ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。
ご確認ください。