Dersecur Ltd.

アプリケーションセキュリティ・テストプラットフォーム「DerScanner」

NEW

DerScannerは、アプリケーションのセキュリティを強化するための包括的なテストプラットフォームです。一つのインターフェースで、以下の機能をすべての提供します。

  • SAST(静的アプリケーションセキュリティテスト)
  • DAST(動的アプリケーションセキュリティテスト)
  • IAST(インタラクティブアプリケーションセキュリティテスト)
  • MAST(モバイルアプリケーションセキュリティテスト)
  • バイナリ解析
  • SCA(ソフトウェアコンポジション解析)
  • SCS(サプライチェーンセキュリティ)

DerScannerを使うことで、ソフトウェアに潜む既知および未知の脆弱性に加え、オープンソースライブラリのコンプライアンス上の問題も検出可能です。

特長

check_circle 総合的に脆弱性にアプローチ

DerScannerは、ひとつのプラットフォームに複数のテスト・解析手法をシームレスに統合することで、効率的かつ網羅的な脆弱性検出を可能にします。

check_circle コードが無くても解析可能
DerScannerは、ソースコードが手元になくても解析が可能なため、サードパーティ製やオープンソースのコンポーネント、レガシーアプリやWeb、モバイルアプリのセキュリティテストにも最適です。
check_circle コンプライアンス対応をサポート
DerScannerは、AI技術を活用して誤検知を最小限に抑えたうえで、詳細なレポートを提供します。

43言語の解析に対応
 

ドラッグ&ドロップで解析が可能

DerScannerの解析機能

静的アプリケーション
セキュリティテスト(SAST)

構文解析やデータフロー解析など、多様な手法を使って、ソースコードやバイナリコードを解析し、アプリケーションの脆弱性を検出。SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なセキュリティリスクに加え、ハードコードされた機密情報に潜在する脆弱性も特定します。

バイナリ解析
 

コンパイル済みの実行ファイル(バイナリ)を解析して、脆弱性を特定可能。そのため、ソースコードが手元にない、サードパーティ製ソフトウェアやレガシーアプリケーションに潜むリスクも洗い出すことができます。

動的アプリケーション
セキュリティテスト(DAST)

ペネトレーションテストのように、SASTでは見逃しがちな、アプリケーションの動作時に悪用される可能性のある脆弱性を検出できます。テストモードは、スタンダード、アグレッシブ、アクティブアタックから選択可能。また、JavaScriptを多用した動的なWebアプリケーションの効率的に探索に役立つ、Ajax spider機能(通常のスパイダー機能では見つけにくいJavaScriptで生成されたリンクやコンテンツを、自動的に探索し、アクセス可能なページやインターフェースを網羅的に収集可能)も搭載しています。

インタラクティブアプリケーション
セキュリティテスト(IAST)

SASTとDASTで検出された脆弱性を自動的にクロスチェックし、相互の関連性を分析することで、一方の手法だけでは検出しづらいセキュリティリスクを検出し、より正確な結果を提供します。

ソフトウェアコンポジション解析(SCA)&サプライチェーンセキュリティ(SCS)

ソフトウェア構成を分析することで、使用されているサードパーティ製/オープンソースのコンポーネント情報を可視化し、セキュリティ上およびライセンス上のリスクが潜んでいないかチェックします。また、パッケージの健全性を評価することで、TyposquattingやStarjacking、MavenGate攻撃のようなサプライチェーン攻撃に対するセキュリティ強化を助けます。

DerScannerは自社ノウハウに加え、Github Advisory、GitLab Advisory、Google OSV Database、EPSS(Exploit Prediction Scoring System)、NVD(National Vulnerability Database)の情報を基に、幅広い脆弱性を網羅的かつ正確に検出します。

パッケージの健全性は、以下のような点から評価されます。

  • パッケージの人気度は?
  • 制作者は信頼できるか?
  • コミュニティによるメンテナンスは活発か?
  • 基本的なセキュリティ対策がされているか?
  • ライブラリの制作日は?
  • 最初のバージョン番号が不自然でないか?
  • 制作者は他のプロジェクトも行っているか?
  • pullリクエストは2人以上承認をパスしているか?

モバイルアプリの脆弱性テストにも最適

DerScannerは、モバイルアプリのセキュリティテスト(MAST)にも最適なソリューションです。

開発時にソースコードの脆弱性を検出できるだけでなく、Google PlayやApp Storeに公開された後でも、バイナリ解析で容易にセキュリティをチェックすることが可能です。

3ステップで簡単バイナリ解析

  1. Google PlayやApp Storeに公開されているモバイルアプリのリンクをコピー
  2. DerScannerに貼り付け
  3. スキャンを開始して、セキュリティ評価結果を入手

※APK、IPA、APP形式のファイルのアップロード(またはドラッグ&ドロップ)でも解析可能。

AIの力で、誤検知を最小限に

DerScannerは、誤検知(false positive)によるノイズを低減するために、高度なフィルタリングと優先順位設定を可能にする独自のAIエンジン(Confi AI)を使用しています。これにより、検出結果が多すぎて、本当に重要な問題が見逃されてしまうリスクを減らすことができます。特に、複雑なプロジェクトや大量の依存関係を持つプロジェクトにおける、セキュリティチェックで役立つ機能です。

Confi AIの4つのプリセットモード

Only Trueモード
実際に問題となる可能性が非常に高い脆弱性(true positive)のみを表示します。
Only Importantモード
実際に問題となる可能性が必ずしも高くない脆弱性についても、その深刻度を考慮して結果に含めます。
Dynamicモード
悪用される可能性や影響の度合いなどを基にした独自の優先度アプローチを用いて、脆弱性の深刻度ごとに表示の割合を動的に調整できます。
Customモード
フィルタリング条件をユーザーが自由に設定し、特定の条件に基づいて脆弱性の表示をカスタマイズできます。

コンプライアンス対応をサポート

柔軟かつ簡単にレポートを作成

DerScannerの解析結果は、OWASP、PCI DSS、HIPAA、CWE/SANS Top 25に対応する形でレポートにまとめることができます。また、レポートに含める内容のカスタマイズも可能です。

SDLCを通じたセキュリティチェックを実現

CI/CDツールとDerScannerを連携させることで、ソフトウェア開発ライフサイクル(SDLC)の早い段階からソースコードのセキュリティチェックを実施し、問題を発見・修正する(シフトレフト)ことができます。

これにより、開発チームとセキュリティチームとの軋轢を減らし、開発の後期に問題が発覚し、リリースが遅れるという事態も避けることができます。

ライセンスプラン

DerScannerには大きく分けて、ニーズに合わせて柔軟にご利用いただけるように、(1)必要な時に必要な分だけ解析を行うためのプランと(2)年間契約のプランの2種類が用意されています。

(1)オンデマンド解析プラン

以下の3つの解析から選択して、最低10回から実施可能です。

SASTライセンス:
ソースコードおよびバイナリの静的アプリケーションセキュリティテストに
DASTライセンス:
Webアプリの動的アプリケーションセキュリティテストに
SCAライセンス:
オープンソースライブラリのソフトウェアコンポジション解析に

条件

  • 43言語解析可能
  • 1ユーザー単位
  • コンプライアンスレポート出力可能
  • クラウドベース
  • SDLC連携機能なし

(2)パッケージプラン

必要な機能を選択してライセンスを購入することができます。また、複数の機能をご利用いただけるお得なプランも用意されています。詳しくはお問い合わせください。

Flexライセンス Enterpriseライセンス
SAST & バイナリ解析機能 check_circle
※解析言語:3言語選択
check_circle
※解析言語:43言語
DAST & IAST機能 オプション check_circle
SCA & SCS機能 オプション check_circle
レポート作成 check_circle check_circle
SDLC連携 check_circle check_circle
条件

ユーザー数:1-5名

スキャン回数:無制限

デプロイ環境:オンプレミス

期間:12か月

ユーザー数:無制限

スキャン回数:無制限

デプロイ環境:オンプレミス

期間:12か月

お問い合わせ先

phone Tel: 03-3245-1248    mail Email: ss_sales@toyo.co.jp

保守契約について

保守については下記ページをご参照ください。

https://www.toyo.co.jp/ss/contents/detail/support_agreement_drs

テクニカルサポートについて

技術的なご質問に関しては、以下までご連絡ください。

※ サポート受付時間:9:30~17:30(土日、祝日を除く)

お問い合わせ先

phone Tel: 03-3245-1248    mail Email: ss_support@toyo.co.jp

お問い合わせに際してのお願い:

  1. お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
    • ご使用になっているOSの種類とバージョン
    • ご使用になっている製品のバージョン
  2. エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
  3. 可能な限り、その問題が発生した経緯、再現の手順をお知らせください。