国産脆弱性診断ツール「Shisho Cloud byGMO」、自動Web脆弱性診断（DAST）機能を提供開始。

日本初（※1）の「Web&クラウド」まるごと脆弱性診断ツールに

株式会社Flatt Security

2024年8月19日 12時00分

GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開する株式会社Flatt Security（代表取締役社長：井手康貴　以下、Flatt Security）は、本日2024年8月19日（月）より、国産脆弱性診断ツール「Shisho Cloud（新名称 Shisho Cloud byGMO）（※2）」（シショウクラウド、URL：https://shisho.dev/ja）の自動Web脆弱性診断（DAST（※3））機能の提供を開始いたします。

「Shisho Cloud byGMO」の自動Web脆弱性診断（DAST）は、外部から自動的に模擬攻撃を実施することで、Webアプリケーションの脆弱性を検出する機能です。定型的なWeb脆弱性診断をよりお手頃に、いつでもご実施いただけるため、内製開発やパブリッククラウド活用により速いサイクルで変化するプロダクトの診断に最適です。従前から提供されている自動クラウド診断（CSPM（※4））機能と同時にご利用いただくことで、日本初の「Web&クラウド」まるごと脆弱性診断ツールとしてご利用いただけます。

（※1）日本初: 2024年8月19日現在。合計37社の製品に対する当社調査の結果に基づく。

（※2）新名称: 9月を目途に変更予定。本リリースでは新名称で表記。

（※3）DAST: Dynamic Application Security Testing の略称。外部からアプリケーションの挙動を動的に検査することで脆弱性の有無を検査する手法、およびそのように検査を行うソリューション。

（※4）CSPM: Cloud Security Posture Management の略称。クラウドサービスの設定状況の記録を元に、不適切な設定を検知・管理すること、およびそのためのソリューション。

【Web 脆弱性診断の課題】

DXの波の傍ら、Webアプリケーションの脆弱性に起因したインシデント事例がより注目を集めるようになりました。顧客データ流出等のインシデントは企業活動の停止に直接的に繋がりうるため、近年は脆弱性診断を予め、または定期的に実施することで運用リスクを低減する動きが加速しています。

加えて、近年は開発の内製化や、AWS・Azure・Google Cloudに代表されるパブリッククラウドの利用により、アプリケーションをリリース後に高頻度で更新・改善することが可能になりました。このような背景も、リリース前の脆弱性診断ニーズに加え、リリース後の定期的な診断に対する関心を強めています。

一方、Flatt Securityが「内製開発 × パブリッククラウド時代」の数百のプロダクト組織をご支援してきた中では、高速にリリースされるクラウド上のWebアプリケーションに対して脆弱性診断を継続実施する上での多くの課題を伺ってきました。その代表例が、以下に挙げる3つの課題です。

インフラとアプリを一括で診断できず、総合リスク評価が困難。アプリ部分の診断はWeb脆弱性診断サービスで対応できるが、近年も重大インシデントの原因となっているクラウド設定不備まで含めて診断するには、クラウド診断を別途発注する必要がある。インフラ・アプリ横断で総合的なリスク評価を実施するためには、複数の診断報告書を取りまとめる専門性が要求される。
受発注や実施の工数が大きい。診断対象の共有に始まり、診断結果を受け取るまでの業務プロセスの随所で、膨大なコミュニケーションや資料が必要となる。また業界繁忙期を中心に、実施完了までに3ヶ月~を要する。結果として、リリースサイクルが脆弱性診断の都合でスローダウンしてしまう。
経済的コストが大きい。多くの脆弱性診断サービスが人的なサービスであることや、発注の煩雑さに由来し、100万円〜/回程度の費用が必要となる。

【提供開始の背景】

Flatt Securityが既に多くの実績を有する手動診断サービスと併せて、「Shisho Cloud byGMO」に新たに自動Web脆弱性診断（DAST）機能を追加することにより、さらに①まるごと診断（包括的かつ網羅的な脆弱性診断）へのニーズや②時間的コストの削減ニーズにもお応えできるようになります。

このように、本機能リリースは、Flatt Securityが「内製開発 × パブリッククラウド時代」の脆弱性診断の主要課題を解消することを目指すものです。

【「自動Web脆弱性診断（DAST）機能」の特徴】

■クラウド診断とWeb脆弱性診断をまるごと実施可能。どこの・何が脆弱か、一目で分かる

これまでに提供してきた自動クラウド診断（CSPM）機能に加え、自動Web脆弱性診断（DAST）機能が搭載されることで、Webアプリケーションとクラウドの脆弱性診断をまるごと実施いただけるようになりました。

診断対象となるWebアプリケーションのクラウド内での設置位置もあわせて管理いただける上、Web 脆弱性診断の結果とクラウド診断の結果が同時にご確認いただけます。結果として、検出された脆弱性情報を元にしたリスク評価を、より円滑に実施いただけます。

■診断対象の追加から自動クロールまでを数クリックで実現可能

診断対象は、診断対象URLやOpenAPI スキーマ、GraphQLスキーマ（※ 今後提供予定）により指定可能です。またパブリッククラウド上の構成情報を元に、直接自動Web脆弱性診断の対象として指定いただける、シームレスな体験もご用意しております。

また、自動クローリング機能により、Webアプリケーション内の診断対象エンドポイントやテストシナリオも、半自動的に作成されます。適切な認証情報を設定したり、各画面遷移時のパラメータをチューニングしたりすることで、より自動診断の精度を高めていただけるプロフェッショナル向け機能も取り揃えています。

■月額2万円台から利用可能。手動診断サービスとの併用で、高コストパフォーマンスな診断も可能

「Shisho Cloud byGMO」の自動Web脆弱性診断（DAST）機能は月額2万円台からご利用いただくことができます(※5)。また、診断対象Webアプリケーションが動作している環境に対しての自動クラウド診断（CSPM）機能は無料でご利用いただけます。

また、自社特有のロジックや認証機能等の自動Web脆弱性診断が困難な箇所に対してのみ、Flatt Securityの手動診断サービスをご利用いただくことで、コストパフォーマンス良く脆弱性診断を実施できます。

(※5) 診断対象のエンドポイント数により料金が変動します。

■無料トライアルのご案内

「Web&クラウド」まるごと脆弱性診断ツール「Shisho Cloud byGMO」は、無料トライアルをご提供しております。ご希望の方は弊社お問い合わせフォーム（URL：https://shisho.dev/ja/form/trial-request）からお問い合わせください。

【株式会社Flatt Securityについて】

Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群

「Web&クラウド」まるごと脆弱性診断ツール「Shisho Cloud byGMO」（URL： https://shisho.dev/ja）
開発者に寄り添ったセキュリティエンジニアによる脆弱性調査・分析サービス「セキュリティ診断」（URL：https://flatt.tech/assessment）
クラウド型セキュアコーディング学習プラットフォーム「KENRO」（URL： https://flatt.tech/kenro）

※ 記載されている会社名及び製品名は、各社の商標または登録商標です。