Invicti 脆弱性スキャナ | 株式会社コムワース

Invicti Web脆弱性スキャナ

セキュリティ IP系試験・測定・監視・検証機

Invicti

現代の企業は、ウェブ技術に大きく依存しており、何千ものウェブサイト、ウェブアプリケーション、ウェブサービス、ウェブAPIが組織全体に散在していることがよくあります。手動の脆弱性テストで、すべてのWebアプリケーションを検査するのは不可能です。
Invictiは、使いやすさ、高い脆弱性検出率、Proof-Based Scanning™による検証結果で知られるWebアプリケーションセキュリティソリューションです。資産の発見からスキャン、問題追跡システムの統合まで、すべてのステップを自動化することで、最大限の効率化とセキュリティの確保を実現します。
Invictiは、お客様の運用方法に合わせて、オンプレミス、ホスティングソリューション、またはその両方を組み合わせて導入することができます。

使いやすく豊富な設定

簡単な設定で、Webアプリケーションのセキュリティスキャンを開始できます。Invictiは、カスタム404エラーページやURLの書き換えを自動的に検出し、Anti-CSRFトークンを使用したWebサイトもスキャンするので、細かい作業に煩わされることはありません。
Invictiはスキャンを開始する前に、多くのスキャン設定を構成できます。これらの設定はスキャンプロファイルとして保存できるため、後でロードして他のWebセキュリティのスキャンに使用でき、各スキャンの前に設定を毎回変更する必要がありません。

他のツールが見逃している脆弱性を見つける

第三者機関によるベンチマークテストでは、Invictiはすべての脆弱性を検出した唯一のソリューションでした。また、誤検出を報告しなかった2つのスキャナーのうちの1つでもあります。これらの結果は、Invictiが最も高度で正確なクローリングとスキャン技術を持ち、最も高いWeb脆弱性検出率を誇ることをさらに証明しています。

ベンチマークテスト
https://www.invicti.com/vulnerability-scanner-comparison/

特定された脆弱性を自動的に検証

何千ものWebアプリケーションを管理するには、脆弱性を手動で検証していてはとても間に合いません。Invictiは、独自のProof-Based-Scanning™技術を使用して脆弱性を自動的に検証し、どの問題が確実に誤検出ではないかを把握することで、何百もの工数を削減します。Invictiが脆弱性の検証を行うことで、セキュリティのチーム規模を拡大しなくても、Webアプリケーションの拡大に伴う脆弱性管理の負担を軽減します。

SDLC全体でセキュリティを強化

Invictiは、SDLCやDevOps環境で見られるCI/CDやその他のシステムと簡単に統合することができ、自動化された脆弱性評価、トリアージ、検証プロセスを含むカスタマイズ可能なワークフローを構築することができます。
コードがコミットされるたびにスキャンが自動的に開始され、検証された脆弱性は自動的にバグ追跡システムに追加し、開発者に割り当てられます。開発者の修正プログラムも自動的にスキャン、検証され、Webアプリケーションのセキュリティ管理プロセスを完全に自動化します。

脆弱性

多くのWebセキュリティスキャナには、脆弱性の誤検出が発生する傾向があります。つまり、Webサイトに脆弱性がないにもかかわらず、脆弱性があると表示してしまうのです。
ありもしない脆弱性への対策ほど無駄なものはありません。Invictiは脆弱性の存在を証明し、限られたリソースを無駄なくセキュリティの強化につなげます。

Proof-Based Scanningで正確な脆弱性スキャン

Invictiは、SQLインジェクションやクロスサイトスクリプティング（XSS）などの最も一般的な脆弱性の複数のケースを含む、あらゆるタイプのWebアプリケーションの脆弱性を特定します。
そして、Proof-Based Scanningが自動的に脆弱性を検証することで脆弱性が誤検出ではないことを証明します。

各脆弱性の全体像を把握する

Invictiでは、ITセキュリティに関する莫大な知識は必要ありません。
Invictiで発見された脆弱性には、詳細なレポートが添付され、セキュリティチームや開発者が問題を修正するだけでなく、脆弱性の原因を理解するのに役立ちます。詳細な情報を得ることで、開発する際に脆弱性につながる原因を回避することができ、将来的により安全な製品の開発につながります。

脆弱性の詳細
Invictiは発見した脆弱性を見つけたページとURL、脆弱性のあるパラーメータとタイプ、スキャン中に使用された攻撃パターンとペイロードを報告します。

高度な脆弱性評価のための組み込みツール

難易度の高いセキュリティ脆弱性を調査したり、可視化したりする必要がある場合、必要なセキュリティツールがすべてInvictiには組み込まれています。セキュリティ専門家がスキャンと手動テストを最適化できるように、Invictiには以下のような多数の高度なWebセキュリティテストツールが搭載されています。

・HTTP Request Builder
・Encoding and Decoding Tools
・Retesting Individual Vulnerabilities

すべてのWeb Asset(Web資産)をスキャン

複雑で強大な企業ネットワークやサーバーの中には古い状態のまま忘れられたWebアプリケーションが存在します。サイバー攻撃にはそういった放置されたWeb資産がよく利用されます。
InvictiではすべてのWeb資産を検索、スキャン、保護する事ができます。

検索

Invictiは登録するとすぐに、アプリケーションとサービスの検出を行います。組織が所有する、または組織に関連している可能性のあるWebサイトとWebアプリケーションの候補を表示します。これはスキャン前の重要なステップで、すべてのWeb資産を見つけ出し、どのような設定でスキャンするのかを決定するのに役立ちます。

クロール

発見後、Invictiは高度なクローリング技術を用いて各資産を分析し、サイバー攻撃に利用される可能性のあるエントリーポイントを特定します。専用のJavaScriptエンジンを搭載したInvictiは、Javascriptの出力を解析、実行、分析し、CSS(クライアントサイドスクリプト)に大きく依存する最新のHTML5、Web 2.0、シングルページアプリケーション(SPA)のクロールと解釈を成功させます。これには、JqueryやAngularJSなどの一般的なフレームワークを使用して動的に生成されたページコンテンツも含まれます。Invictiは、SOAPやREST APIの脆弱性も特定できます。

認証機能

パスワードで保護されたWebサイトのスキャンは、多くの脆弱性スキャナーでは実行するのは困難です。Invictiは、パスワードで保護されたWebアプリケーションやWebサイトのセクションにアクセスしてスキャンできるよう、設定がかんたんな認証モジュールを提供します。認証情報は、ログインマクロを記録する必要なく設定できます。
Invictiは、Basic、Form-based、NTLM、Digest、Kerberos、Client Certificate、およびSmart Card認証をサポートしています。

統合・自動化

Webアプリケーションの規模がでかくなるほどセキュリティに必要なコストは高くなりますが、Invictiは精度を保ちつつ、Webアプリケーションの拡張性に対応できます。たとえ小規模なセキュリティチームでも、Invictiの統合機能と自動化機能を最大限に活用することで、Webアプリケーションをスキャン、検出、保護することができます。
InvictiはSDLC、DevOps、ステージング環境、本番環境に統合できクローズドな脆弱性調査環境を構築することができます。開発の初期段階から本番環境に至るまで、すべてのWebアプリケーションとWebサービスの脆弱性がスキャンされ脆弱性を排除します。

チーム連携によるセキュリティ強化

生産性を最大限に高めるためには、効率的な連携が不可欠です。組織やチームの規模が大きくなるに連れ、タスクや責任の割り当てが大きな課題となります。Invictiにチームメンバーを追加することで、メンバー間の連携が容易になり、コミュニケーションを自動化し、可視性を高め、チームがWebアプリケーションのセキュリティ向上に全力を注げるようになります。

脆弱性の評価と管理の自動化

スキャンと脆弱性評価の準備ができたら、脆弱性を優先度順にグルーピングして報告し、チームを作成して脆弱性の修正に取り掛かる必要があります。
ウェブアプリケーションの数が少ない場合は、この作業を手動で行うことができるかもしれません。しかし、何百、何千ものWebアプリケーションがある場合、すべて手動で行うのは現実的ではありません。Invictiには、スキャン後のプロセスを自動化し、Webアプリケーションが稼動する前にすべての脆弱性が報告され、修正されていることを確認するために必要なすべてのツールが用意されています。

問題管理と通知の自動化

Invictiには脆弱性管理システムが組み込まれており、特定された脆弱性を開発者に自動的に割り当て、修正までの作業を補助するように構成できます。独自の脆弱性管理ソリューションがすでにある場合、Invictiはそのシステムと統合し、同じ用に開発者に通知することができます。

ワークフロー通知と自動修正再テスト

Invictiは脆弱性修復アクティビティを監視するため、開発者がセキュリティ上の欠陥を修正すると、自動的に再テストを行います。脆弱性がまだ存在する場合、Invictiはセキュリティチームを介さず開発者に通知します。重大な問題が見つかった場合、またはタスクを割り当てられた場合、チームメンバーに通知を送信できます。通知オプションにはメールやSMS等の一般的なチケットシステムを利用できます。

影響の大きい脆弱性への迅速な対応

もし、Webアプリケーションで発見された重要な脆弱性を数分で修正することができたら理想的でしょう。しかし、実際にはそれ以上の時間がかかり、その間もアプリケーションは攻撃を受けやすい状態にあります。Webアプリケーション・ファイアウォールは、脆弱性が修正されるまでの間、脆弱性をブロックするセキュリティ絆創膏のようなものです。Invictiは、主要なWebアプリケーション・ファイアウォール製品と統合することで、このプロセスを自動化し、すべての重要な脆弱性に迅速に対処することができます。

上記画像はサポートシステムの一例です

レポート

Webアプリケーション・セキュリティ・スキャンのレポートは非常に重要です。レポートによって、すべてのウェブ資産のセキュリティ状態の概要を把握し、セキュリティの詳細をチームと共有することができます。また、レポートは、開発者の生産性と能力を把握するのに役立ち、脆弱性を本番環境に持ち込まないようにすることができます。

Invictiダッシュボード

Invictiソリューションにログインすると、お客様のアカウントで発生しているすべての出来事のサマリーが表示されます。スキャンが何回行われたか、Invictiが特定した脆弱性の数、未修正の脆弱性の数を確認できます。グラフはトレンドやその他のデータを表しており、すべてのWebアプリケーションとWebサービスのセキュリティ状態をすばやく把握することができます。

Invicti攻撃対象を最小限に抑える

JavaScriptライブラリ
ウェブ開発フレームワーク
ウェブサーバ
CMSデプロイメント
プログラミング言語
データベースサーバ

ソフトウェア管理の合理化

Webアプリケーションのセキュリティを向上させるだけでなく、すべてのWebテクノロジを検出することで、インフラストラクチャを管理し、管理コストを削減できます。明確なレポートにより、アップグレードが必要なコンポーネント、維持する必要があるが脆弱な機能を回避するために特別な注意が必要なコンポーネント、使用されなくなってシステムから削除できるコンポーネントを簡単に判断できます。

Invictiのプラン一覧

Invictiは顧客の様々なニーズに対応するため複数のプランを提供しています。

Invictiのプラン一覧

	standard	team	Enterprise
サービスの提供方法	Desktop Application	Host	Host or On-Premise
Scan数	MAX 20	MAX 50	50以上
UI	Windows software	Windows software Or Web dashboard	Windows software Or Web dashboard
APIアクセス	コマンドライン	REST API	REST API
ユーザー数	シングルユーザー	マルチユーザー	マルチユーザー

Invicti Standard

中小企業向けのシングルユーザーのWindowsアプリケーションです。
複雑な操作や設定を行わなくともWebサイトやWebアプリケーションの脆弱性を発見し、企業のセキュリティを支えます。
ITセキュリティの詳しい知識がなくとも利用でき、脆弱性の原因の箇所を発見するため簡単に修正することができます。

Invicti Team

中規模から大規模な組織向けのクラウドベースのスキャナを提供するプランです。
信頼性、相互運用性、柔軟性、スケーラビリティを求めている場合に最適です。
Webセキュリティ体制を改善しながらリソース使用量を最小限に抑えることができます。

Invicti Enterprise

セキュリティチームや企業に最適なワークフローとレポートツールが組み込まれた、スケーラブルなマルチユーザーWebアプリケーションセキュリティを提供します。これは、ホスト型およびセルフホスト型のソリューションとして利用可能であり、あらゆる開発環境またはテスト環境に完全に結合できます。