目次
昨今、脆弱性を狙ったサイバー攻撃が急増し、開発プロセスにおいても「セキュリティ」に焦点を当てた迅速なソフトウェア開発(DevSecOps)がトレンドになりつつあります。
DevSecOpsの実現には、脆弱性を素早くフィードバックし修正する仕組みが必要です。そこでポイントになるのが『脆弱性診断の自動化』です。SyhuntはCI/CDツールやパイプラインと簡単に統合できるためセキュリティテストを自動化することが可能です。
今回の記事では、Syhuntとはどんな製品なのか、基本的な製品情報と導入するメリットについて紹介していきます。
1. Syhunt(シハント)とは?
Syhuntは、2003年にブラジルで生まれたWeb・モバイルアプリケーション脆弱性診断ツールです。
SyhuntはWeb・モバイルアプリケーション上にある脆弱性を検知するツールで、開発プロセス内に「DAST・MAST・SAST」など多彩なスキャンを入れてセキュリティインシデントを未然に防ぐだけでなく、ダークウェブ上に情報が漏洩していないか、情報が漏洩した際の原因調査など、リリース前からその後も包括的にセキュリティチェックができます。もっと簡単に説明すると製品の開発段階からリリースした後も活用できるセキュリティチェックツールです。
日本ではまだ知名度はありませんが、利用ユーザーは海外のお客様が多く、米国国防総省やドイツ政府・インド原子力研究機関などさまざまな企業や団体でSyhuntをご利用いただいています。
特に以下のようなお悩みをもつ開発者やテスター・企業のセキュリティ担当者などには本製品はフィットします。
● 開発者の人材不足でセキュリティを担保できていない
● 開発サイクルを良くして開発工数を減らしながら、品質も上げていきたい
● セキュリティインシデント対策としてセキュリティチェックの内製化と強化をしていきたい
では、実際に弊社が提供するSyhunt Hybrid の機能や特徴・プランといった製品概要について紹介します。
1-1. Syhunt Hybridの機能紹介
Syhunt Hybridでは主に以下の4つのスキャン機能と2つの調査機能があります。
スキャン機能 | |
---|---|
ハイブリッドスキャン (HAST) | ソースコード診断や特定のプログラミング言語に依存しない動的診断などを組み合わせて、XSS・ファイルインクルージョン・SQLインジェクション・コマンド実行など広範な脆弱性を短時間で検知できます。 |
ダイナミックスキャン (DAST/OAST) | URLを入力するだけといった最小限の労力でWebアプリケーション上の脆弱性チェックができます。Webサイト内にあるすべてのページやリンクを見つけることができるため脆弱性や問題を見逃すことなく正確に検知します。 |
モバイルスキャン (MAST) | AndroidやiOS向けアプリを自動でスキャンし数分でコードの脆弱性を検知します。(OWASP Mobile Top 10やCWE/SANS Top 25にある脆弱性を検知) |
ソースコードスキャン (SAST) | ソースコードをスキャンし、クロスサイトスクリプティング (XSS)、ファイルインクルード、SQLインジェクション、リモートコマンド実行などIPAの10大脅威に入る脆弱性の検知はもちろん、パッチ適用が必要なコード行も正確に教えてくれます。コーディング段階で潜在的な脆弱性を見つけることができるのでセキュリティに配慮したコーディングが可能に。 |
調査機能 | |
---|---|
ダークウェブ診断 (DWET) | 独自のAIソフトウェアで生成されたデータベースとSyhunt社のセキュリティ専門家の知能を組み合わせた機能で、Webの表層・深層・暗層上に漏洩した企業情報を見つけ、被害度合いを「Very Poor〜Excellent」の5段階で評価します。 |
フォレンジック調査 (FAST) | Webサーバーのログをスキャンし、ヒューリスティック分析を使って、情報の漏洩時に使用されていたソースや攻撃手法を分析・調査します。Syhuntのフォレンジックは、正しいトラフィックか悪意のあるトラフィックなのか、自動攻撃か手動での攻撃なのか区別ができます。 |
このように、SyhuntではセキュアなWebアプリケーション開発を支援するだけでなく、ダークウェブ上の漏洩調査や情報漏洩が起きた際の原因調査やといったインシデント発生時に素早く対応できる機能もご用意しています。
以上がSyhunt Hybridの機能紹介でした。
1-2. 料金プラン
弊社が提供する Syhunt Hybrid では、3つのサブスクリプション型プランをご用意しています。
- Hybrid Platinum(一番安いプラン)
- Hybrid Platinum Plus(中間プラン)
- Hybrid Diamond(一番高いプラン)
なお、ご契約は年間契約となり、「1年」または「3年」のどちらかお選びいただきます。
どのプランも「予約スキャン」や「連携できるツール」、「脆弱性の対象カテゴリ」は同じですが、利用できる「診断機能」や「対応言語」の数が異なります。診断機能については別の記事で紹介予定です。
詳しいプラン比較などは、LICENSEページ をご覧ください。
1-3. 画面紹介(CLI版・GUI版)
Syhuntでは開発エンジニア向けだけでなく、テスターや初心者でも利用できるよう、CLI版・GUI版のどちらもご用意しております。
CLI版 (コマンドラインインターフェース) | シンプルで操作性があり、開発者向け。(Windows・Linux) |
GUI版 (グラフィカルユーザインタフェース) | グラフィカルな画面と直観的な操作性で作業ができるため操作に応じたコマンドを覚える必要がなくテスターや初心者向け。(Windows) |
1-4. レポート画面
Syhuntのレポート画面では脆弱性の度合いをひと目でわかるよう、色やグラフを使ってわかりやすくまとめてくれているのが特徴です。(レポートはPDFまたはHTML形式で作成されます) レポート画面のサンプルを使って紹介します。
レポートでは以下のように検出された脆弱性に関してグラフや色を使ってわかりやすくまとめているほか、脆弱性の説明や該当するソースコード、国際規格「CVSS v3」を参照したスコア表示と解決策を提案します。
- レポート画面
- スキャンの実施概要
- 脆弱性の数や危険性の度合い
- 過去のスキャンとの比較グラフ
- 国際規格にある脆弱性が検知されると赤色で表示
- 脆弱性リスト一覧
- 脆弱性の概要説明(脆弱なソースコード・CVSS v3スコア・解決策の提案)
詳しいレポート画面の見方については別途記事をご覧ください。
以上がSyhuntの基本的な製品概要説明でした。
2. Syhuntを導入するメリット
ここまでは製品に関する基本的な機能やプランを紹介してきましたが、実際Syhuntを導入してどういったメリットがあるのかについてもご紹介します。
2-1. 開発プロセスの高速化(DevSecOps)
Syhuntでは、GitHabやJenkinsといったCI/CDツールやパイプラインと簡単に統合ができセキュリティテストを自動化することができます。 各開発サイクル内に診断を取り入れることができるのでセキュリティチェックを待つことなく、脆弱性の早期発見・修正対応が可能となります。DevSecOpsの課題とされているセキュリティチェックの自動化をSyhuntは実現します。
2-2. 品質向上
Syhuntでは手作業のテストで見逃していたであろう多種多様な脆弱性も特定できるほか、最新トレンドの脆弱性もカバーできるよう定期的なアップデートも行っています。セキュリティ脅威が巧妙化し続ける中、開発の早期段階でセキュリティに配慮したコーディングを行うことで品質の高い製品をリリースすることが可能です。
2-3. 開発コストの削減
開発プロセス内にセキュリティチェックのリソース確保ができていれば問題はありませんが、多くの現場ではセキュリティチェックが後回しにされがちなのが現状です。対策を後回しにしていると、脆弱性が見つかった際に根本的な設計の見直しや大規模な改修が必要になるといった『手戻り』が起こることがあります。
Syhuntの脆弱性診断ツールを活用して開発プロセス内にセキュリティチェックを自動化する仕組みを入れることで、チェックの効率化を上げるだけでなく、製品リリース後の手戻りを減らし、将来のセキュリティインシデントに伴う開発コストの削減にもつながります。
2-4. セキュリティ・インシデント対応を後押しする
製品リリース後に情報漏洩などのセキュリティインシデントが起きた場合、担当者は復旧・改修のための原因調査など迅速な対応が求められています。また近年、情報漏洩などによって盗まれた情報はダークウェブ上で売買されているケースが大半です。Syhunt Hybridでは、通常の脆弱性診断機能のほかに、情報漏洩が起きた原因を調査する「フォレンジック調査」という機能やダークウェブに情報が漏洩されていないか診断してくれる「ブリーチ機能」があるので、リリース後に起こりうるインシデントにも迅速に対処ができるところも大きなメリットです。
このように、Syhuntは開発プロセスにおけるセキュリティチェックの効率化だけでなく、将来のセキュリティリスクの軽減や迅速なセキュリティ・インシデント対応を後押ししてくれます。
以上がSyhuntを導入するメリットの紹介でした。
3. 最新アップデートや機能の拡張情報
Syhuntではお客様に安心してご利用いただけるよう定期的な製品アップデートを行っています。 最新のアップデートや機能の拡張情報は、NEWSページ に公開されていますのでぜひご覧ください。
4. まとめ
今回は、Syhuntとはなんなのか製品の特徴について簡単に紹介しました。
よりセキュリティレベルの高い製品を開発するには、「脆弱性の穴を塞ぐ」ことが重要です。Syhuntは、CI/CDパイプラインにシームレスに統合できるので開発スピードを落とすことなく脆弱性の「穴」を塞ぐことができる便利なツールです。
これからもSyhuntはWebアプリケーション開発プロセスのセキュリティ強化とDevSecOps化を進めるため、多くの開発エンジニアの負担を減らすツールとして今後も品質アップデートを継続的に続けてまいります。
本製品に関するご質問やお問い合わせは、お問い合わせフォーム まで気軽にご連絡ください。