SaaS型Webアプリ診断自動化ツール「AeyeScan」、APIも自動で診断可能に
株式会社エーアイセキュリティラボ
β版利用者様からも高評価の「APIスキャン機能」オプションを2023年4月1日に正式リリース
株式会社エーアイセキュリティラボ(本社:東京都千代田区 代表取締役社長:青木歩)は、脆弱性診断の自動化ツール AeyeScan(エーアイスキャン)において、APIの脆弱性診断が自動化できる「APIスキャン機能オプション」を2023年4月1日に正式リリースいたします。「APIスキャン機能オプション」をご活用いただくことで、「AeyeScan1つで」WebアプリもAPIも自動診断が可能になります。
■背景
DX化によるAPIの活用が必要不可欠となり、APIの組み込みが多くのメリットをもたらす一方、APIの脆弱性を突く攻撃によるセキュリティリスクも看過できない状況にあります。
このような背景のなか、弊社でもAeyeScanをご利用中のお客様より「AeyeScanでAPIの診断を実施したい」「API診断も内製化したい」といったお声を頂戴していたことから、APIスキャン機能の開発に着手しておりました。
しかし、APIの脆弱性診断はWebアプリケーションの脆弱性診断とは違いが多く、「APIの脆弱性診断ができる機能」は開発できても、「画面が無いAPIをスキャンし、自動で診断が行えるようにする」ことはとても大きな挑戦でした。
そこで今回、OpenAPIファイルなどからAPIリクエスト情報をインポートすることでAPIリクエスト発行用のモック画面を自動生成し、APIリクエストを自動巡回・スキャンする機能を開発しました。今後は「AeyeScan1つで」WebアプリもAPIも自動診断が可能になります。
■APIスキャン機能の概要
APIスキャン機能とは、APIの巡回・スキャンを非常に簡単な操作で実現する機能です。
特徴は以下になります。(一部抜粋)
OpenAPIファイル(API定義ファイル)のインポートが可能
harファイル(http通信ログのアーカイブ)のインポートが可能
curlコマンドでAPIリクエストの登録が可能
OpenAPI 3.0、3.1に対応
OpenAPIファイルなどからAPIリクエスト情報をインポートすることでAPIリクエスト発行用のモック画面を自動生成し、APIリクエストを自動巡回・スキャンすることができます。
2023年2月4日にβ版をリリースし、既に複数のお客様にご利用いただいており、高い評価を受けています。また、β版利用者からいただいたフィードバックについては、順次対応しており、今後もお客様のニーズに合わせた製品開発に注力してまいります。
▼プロダクトページはこちら
https://www.aeyescan.jp/features/api_scan
■ β版利用者様の声
以前は診断用にAPIのモックを作っていたため準備が大変だったが、「AeyeScan」ではコマンドを登録するだけなので楽になった。画面の操作も迷うことなくできた。
過去使用していたツールだと2週間程度かかる見込みだったが、「AeyeScan」の場合は数時間で実施でき、操作も簡単だった。チェックしてほしい項目もきちんと検出された。
■ 会社概要
「サイバーセキュリティ人材の不足を技術力で解消する」を理念に2019年4月に創業。Webアプリケーション・セキュリティのプロフェッショナルによるクラウドを活用したセキュリティサービスを提供しています。会社名 : 株式会社エーアイセキュリティラボ所在地 : 〒101-0054 東京都千代田区神田錦町 2-2-1 KANDA SQUARE WeWorkプロダクトサイトはこちら : https://www.aeyescan.jp