既存の診断サービス
「点」での網羅的チェック
- ペネトレーションテストや年次診断
- 攻撃者視点での高度な検証
- 特定のタイミングでの詳細な分析に強み
機能紹介
機能紹介 - アプリケーションスキャン(SAST/DAST)
静的解析と動的診断の組み合わせで、 脆弱性を多面的に洗い出し、効率的な管理を実現
Aikido Securityのアプリケーションスキャン機能は、ソースコードを対象とした静的解析(SAST)と、実行中のアプリケーションを対象とした動的診断(DAST)を組み合わせることで、ソフトウェアの脆弱性を多面的に洗い出し、効率的に対処できる脆弱性管理を支援します。
「年に数回のスポット診断だけでは不安」「診断結果を開発フローにどう組み込めばよいか分からない」といった課題に対して、日常の開発プロセスの中で継続的にアプリケーションのセキュリティを確保できる仕組みを提供します。
SAST(静的解析)で検出できるリスク
コードレベルでの脆弱性を早期に発見
- 開発中のソースコードを解析し、SQLインジェクションやクロスサイトスクリプティング、認証・認可の不備、入力値検証の欠如など、代表的な脆弱性パターンを検出します。
- 実行環境にデプロイする前の段階で問題を発見できるため、修正コストを低く抑えることができます。
開発者視点のフィードバック
- IDEとの連携により、開発者がコードを書いているタイミングでフィードバックを受け取ることができます。
- 問題のある箇所とその理由、修正のヒントなどを提示することで、「なぜそれが危険なのか」を理解しながら修正を進められます。
DAST(動的診断)とアプリケーションファイアウォール
実行中のアプリケーションを外側から診断
- 実際に動作しているWebアプリケーションやAPIエンドポイントに対して、攻撃シナリオを模したリクエストを送信し、応答内容をもとに脆弱性の有無を診断します。
- 実行環境に近い形での検証を行うことで、「設定ミス」や「運用上の問題」に起因するリスクも把握できます。
アプリケーションファイアウォールとの連携
- 検出された脆弱性に対して、アプリケーションファイアウォールによる防御ルールを適用し、恒久対応が完了するまでの間もリスクを低減することができます。
- 「すぐにはコードを修正できない」ケースでも、暫定的な対策を講じる選択肢を確保できます。
重大度・影響範囲にもとづくリスク評価
重要なものから順に対応できるように
- 検出された脆弱性ごとに、重大度(例:Critical/High/Medium/Low)やCVSSスコア、影響範囲、攻撃に必要な条件などを踏まえたリスク評価を行います。
- 「すべてのアラートに同じ重みで対応する」のではなく、リスクが高く、影響が大きいものから優先的に対処できるよう整理されます。
プロダクト単位・バージョン単位での把握
- プロダクトやバージョンごとに、どの程度のリスクが残っているのかを一覧で確認できます。
- 新バージョンのリリース前に、許容できるリスクの水準を決めておくことで、品質ゲート(セキュリティゲート)としても活用できます。
既存診断サービスとの併用・使い分けイメージ
Aikido Security
「線」での継続的チェック
- 日常の開発・運用プロセスに組み込み
- 継続的な自動検出と一次対応
- 外部診断を「より効果的に使う」ための基盤