VAddyの事業責任者の市川です。
VAddyは、誰でも手軽に使えて自動化もできるクラウド型の脆弱性診断ツールとして開発をし、5年間運用してきました。様々なWebアプリケーションの検査に対応できるようにチューニングし続け、加えてプライベートネット版対応、シングルサインオン認証アプリ対応、SPA向けの複数FQDN対応などを行なってきました。今までは、よりうまく検査を行う方向での改善を続けてきていて、今後もこの方向は変わりません。
この1年ぐらいで世の中の流れが少し変わってきたかなと感じるようになりました。組織内のアカウント管理でしっかりした運用をしている企業では、VAddyのチーム機能では不十分なケースや、検査項目をもう少し増やして欲しいという要望が目立ってきました。今回のエンタープライズプランは、そのような組織向けに最適なプランになっています。
検査項目の増強
VAddyの既存プラン(Proプラン)の検査項目は下記の5項目です。
- SQLインジェクション
- XSS
- コマンドインジェクション
- ディレクトリートラバーサル
- リモートファイルインクルージョン
これに加えてエンタープライズプランでは、下記4項目の検査が追加されます。
- ブラインドSQLインジェクション
- HTTPヘッダインジェクション
- 安全でないデシリアライゼーション
- XXE
VAddy既存プランの検査5項目は危険度が高く、実際に観測される攻撃の多くを占めます。実際の攻撃割合からこの5項目である程度カバーできています。
ただ、検査時間が増えても良いのでもう少し検査項目を増やしたい、OWASP TOP 10の項目にも対応してほしいという声が増えてきたため、今回のエンタープライズ版で増強しました。
Proプランでは1回の検査上限時間が2時間ですが、エンタープライズプランは5時間にしています。より大きなアプリケーションの検査にも対応できるようになっています。
また、エンタープライズプランでは検査実行時に検査項目の選択ができるため、日々の検査は5項目、週に1回は全9項目を検査するといった柔軟な使い方ができます。
組織管理機能
いままではチーム機能として、プロジェクト毎にチームメンバーとなる他者のVAddyアカウントを招待して、検査結果の共有、検査実行などを実現していました。
今回の組織管理機能では、チーム機能では実現できなかった他者のアカウントの作成・変更・削除ができます。これにより社内メンバーの入社、退職などに応じて厳密にVAddyアカウントが管理できます。
アカウントには、契約主体となるOwner、Ownerと同じ権限を持つCo-Owner、プロジェクトの作成とFQDN追加ができるProjectAdmin、それと一般メンバー権限の4つになります。OwnerとCo-Ownerは組織内のアカウントの管理ができます。一般メンバーはプロジェクトに招待されるまでは何もできません。
例えば、社内の情報システム部門やセキュリティ部門がVAddyを契約してOwner権限を持ち、各部署の責任者にCo-Owner権限のアカウントを作成・付与し、各部署毎にメンバーアカウントを作成・管理する、離職者が出た時は部署の責任者がそのアカウントを利用停止や削除する、そのような使い方ができます。
価格
エンタープライズ版は、月額59,800円、年間契約は2ヶ月お得に598,000円となります。
詳細はVAddyのWebサイトをご覧ください。
https://vaddy.net/ja/plan.html
VAddyはいつでもサインアップして1週間トライアルで利用できますので、そこで検証してみてください!
すでにVAddyをご利用のお客様でエンタープライズプランに切り替えたい、興味がある方は info@vaddy.net までお問い合わせください。
個別相談会
VAddyは弊社、株式会社ビットフォレストがゼロから開発した脆弱性診断サービスです。東京と福岡の弊社オフィスにて毎週個別の相談会を実施していますので、興味がある方はお申し込みください。それ以外の地域の方もSkypeでの遠隔相談会を実施しています。
相談会ページはこちらです。
https://support.vaddy.net/hc/ja/articles/115006059988
