ImmuniWeb®︎On-Demand

ImmuniWeb®On-Demand

ImmuniWeb®︎On-Demand（オンデマンド）はWEBサイトやEコマースサイト、SNS、ネットバンキングなどのWEBアプリケーションを約200台のAI学習済みサーバで並列処理し、従来1ヶ月半〜3ヶ月以上必要とされていた脆弱性診断を3〜5営業日で完了させるクラウドサービスです。

米国ガイドライン・国際ガイドライン

ImmuniWeb®︎では毎日のように膨大に更新されるセキュリティ診断ガイドライン、国際脆弱性報告規格、脆弱性診断手法をAIや機械学習によってプロセス化し、はやい、やすい、高品質なレポートを提供しています。

セキュリティ診断ガイドライン

・OWASP Web Security Testing Guide (WSTG)
・NIST SP 800-115 Technical Guide to Information Security Testing and Assessment
・PCI DSS Information Supplement: Penetration Testing Guidance
・MITRE ATT&CK® Matrix for Enterprise
・FedRAMP Penetration Test Guidance
・ISACA’s How to Audit GDPR

脆弱性報告国際規格

・OWASP Application Security Verification Standard (ASVS v4.0.2) Mapping
・Common Vulnerabilities and Exposures (CVE) Compatible
・Common Weakness Enumeration (CWE) Compatible
・Common Vulnerability Scoring System (CVSS v3.1)

脆弱性診断手法

・CWE/SANS Top25
・PCIDSS(6.5.1-6.5.10)
・OWASP Top 10
・AIソフト|セキュリティ専門家テスト
・機械学習応用テスト
・認証テスト (MFA / SSO)
・REST/SOAP API テスト
・ビジネスロジックテスト
・GDPRプライバシー機能レビュー

国内導入実績

国内ではWordPressサイト、ランディングページ、上場企業コーポレートサイト、社内業務用アプリケーション、ネットバンク、証券アプリ、予約サイト、クチコミサイト、Eコマース、ソーシャルメディア、マッチング、仮想通貨取引所アプリ、SaaSアプリなど、多種多様な業界のシステムを診断してきました。

金融業界

ネットバンク、地方銀行ホームページ、クレジットカード会員ページ、仮想通貨取引所、決済API、保険など

ヘルスケア

健康保険データベース、診療報酬データベース、福利厚生データベースなど

官公庁

特許データベース、省庁監査データベースなど

情報通信・ソフトウェア

コミュニケーションアプリ、ソーシャルメディア、マッチングアプリ、SaaSなど

Eコマース

アパレルEC、建設資材EC、工場部品EC、電子書店など

旅行業界

チケット予約、航空券予約など

メディア・エンターテイメント

ニュースサイト、テレビ局コーポレートサイト、キャンペーンページ、動画ストリーミングサイトなど

インフラ（電力・水道・ガス・石油）

コーポレートサイト、発電所、BtoC電力使用状況課金管理アプリ、BtoB電力可視化アプリなど

化粧品・消費財メーカー

コーポレートサイト、ポイント会員サイト、店舗利用タブレットアプリなど

教育業界

学習塾、e-Learningアプリケーションなど

自動車・製造・重工業・産業機械・農業機械など

コーポレートサイト、サプライチェーン管理に利用する業務用アプリケーションなど

ImmuniWeb®︎３段アーキテクチャ

ImmuniWeb（イミュニウェブ）は脆弱性診断における作業を①ソフトウェア②AI機械学習③専門家作業の３つに分類し、これまで脆弱性診断において人間が行ってきた作業の90％をAIにより削減しているため、はやく、やすく、正確なテストを実施することが可能となっています。国際脆弱性規格であるCVE、リスク評点規格であるCVSSやCWE/SANS、OWASPなどの業界団体規格に準拠しており、2018年に国際連合加盟国193カ国の政府WEBサイトでのimmuniWeb使用が推奨されて以来、60カ国に顧客を有します。2017 年には米 Gartner 社より Cool Vendor 選出、2018 年には機械学習・AI を用いたサイバーセキュリティソリューションとして SC Award Europe で最優秀賞を受賞、米 IDC 社より Mobile Application Security Testing (MAST) 市場で最優秀賞を受賞。日本においても2020年11月に米EnterpriseSecurity Magazineにより、アジアにおける顧客増加数No1を受賞しています。

ImmuniWeb®On-Demandデモ画面

ImmuniWeb®︎On-Demandデモ画面
シンプルなユーザインターフェースとペネトレーションテスト工程
1.アプリケーションURLを設定
2.所有権情報の確認
3.プランの選択
4.スケジュール設定
5.レポートダウンロード

ImmuniWeb®On-Demandデモ画面

CVSS報告基準に沿った評点で脆弱性サマリを可視化。Critical/High/Medium/Low/Warningsの評点分類

ImmuniWeb®On-Demandデモ画面

OWASP TOP10、OWASP ASVS、CWE/SANSTop25、CVE、CVSS、PCIDSS、GDPRに沿った報告書。最終レポートは日本語翻訳版を提出。

ImmuniWeb®︎｜グローバルデータ収集

ImmuniWeb（イミュニウェブ）は2007年にスイスのジュネーヴにて創業され、金融機関や国際機関におけるセキュリティ検査実績をもとに2018年よりオンライン上でAIプラットフォームが無料公開されました。全世界で通算186,253,448件のテストを実施し、機械学習によるAIアルゴリズムと診断ワークフローを発展させてきました。数百台のサーバを同時稼働させることで、350件/秒、1日あたり10万件の検査にも対応することが可能です。AIによるデータ学習をすることで、脆弱性診断に関わるほとんどの工程を自動化し、競合製品よりも３倍はやく、３倍やすく、高品質なテストを実施することが可能となっています。(2021年7月末時点）

従来型検査とImmuniWeb検査の違い

従来型の検査手法では、パソコンに脆弱性診断用ソフトウェアをインストールし、インストールしたツールを通じて１つのIPアドレスから対象となるWEBアプリにアクセスしていました。1IPからのアクセスを基本とし、診断員が手動で診断しているため、１日に十数ページほどしか検査することができず、また、WEBサーバ、アプリケーションサーバ、データベース、APIを１つのツールで検査することが困難でした。

図１）従来の検査手法

ImmuniWeb®︎の分散型システム

ImmuniWebは独自のデータセンターを保有しており、数百台のサーバを常時稼働させ、独自ITインフラ上でAI・ソフトウェア・チケッティングシステムなどを組み合わせた独自のシステムを有しています。検査時には最大200IPからの並列アクセスが可能であるため、１日あたり100万ページでも検査が可能で特にEコマースサイトでは真価を発揮します。100種類以上の脆弱性診断シナリオに対応できるプラットフォームとなっているため、ドメイン単位での検査範囲指定のみでWEBサーバ、アプリケーションサーバ、データベース、APIを１つのツールで同時に検査することが可能となっています。

図２）ImmuniWeb®︎｜検査手法

従来手法との診断コストの違い

ImmuniWebは従来型の脆弱性診断手法に比べて、３倍はやく、３倍やすく、高品質で安心なクラウドサービスを提供しています。従来型の脆弱性診断は、日本市場での人数の少ないセキュリティスペシャリストに大きく工数を依存するサービス提供方法でした。従って、診断対象範囲を決める見積フェーズで１ヶ月、契約・相見積・発注で2週間、検査で0.5ヶ月、誤検出チェックと報告書作成で1.5ヶ月、脆弱性の修正と再診断で1.5ヶ月と、少なくとも5ヶ月間は前後の開発リリースを延期する必要があり、スピード感を持って開発・リリースを繰り返す必要のある企業は課題を感じていました。

ImmuniWeb®︎｜はやい・やすい・安全安心

ImmuniWeb®︎はドメインやアプリを指定するだけでAIによるクローリング、優先順位づけをするため、２日で見積を提出することが可能です。また、費用は従来型がプロジェクト平均で100万円以上なのに対し、ImmuniWebはプロジェクト平均で約30万円であるため、部門決済で相見積もりをしなくても迅速な発注が可能です。また、検査はセキュリティスペシャリストとAI・ソフトウェア・RPAの組み合わせで効率化されており、報告書作成までは８日間です。過去の実績では、検査繁忙期の3月15日に問い合わせがあり、当日に見積、翌日には発注をいただき、3月27日には報告書を納品した例もあります。

（図２）ImmuniWeb®︎AI Platformによる脆弱性診断手法