開始 | Web脆弱性スキャンUWS（クローラーシングル）サービス

近年、インターネット技術の継続的な発展により、Web アプリケーション システムが大規模に登場しました。しかし、Web アプリケーション システムが広く使用され、その経済的価値がますます高まるにつれて、相互接続性とオープン性によりハッカー攻撃に対してより脆弱になり、脆弱性の脅威にも直面しています。

Web脆弱性スキャンUWS（シングルクローラー）サービスは、UCloudとGreen Alliance Technologyが開発した、クローラーを通じてWebサイトの脆弱性をリモートでスキャンできるサービスです。お客様は、Web アプリケーション スキャン製品を購入することなく、Web サイトの脆弱性ステータスと各脆弱性に対するパッチの提案を取得できます。

Webアプリケーションシステムは常に脆弱性の脅威に直面している

中国インターネット情報センター（CNNIC）が発表した第41回「中国インターネット発展統計報告」によると、2017年12月時点で、中国のウェブサイト数は533万、中国のインターネットユーザー数は7億7,200万人、中国のモバイルインターネットユーザー数は7億5,300万人に達した。

しかし、Web アプリケーション システムが公共分野 (政治、経済、文化、国防など) や個人分野 (娯楽、コンサルティング、通信など) で広く使用されるようになると、Web アプリケーション システムは相互接続性とオープン性を備えているため、ハッカーの攻撃に対してより脆弱になり、脆弱性の脅威に直面します。 2005 年以降、脆弱性の数は高いままであり、これは Web サイトなどのインターネットに接続された Web アプリケーションが頻繁に攻撃される重要な理由でもあります。

ネットワーク セキュリティ保護ツール - 脆弱性スキャン

ネットワークセキュリティ作業を戦争に例えると、脆弱性スキャナは、この戦争において端末ネットワークデバイスの上空をホバリングする「無人偵察機」です。情報プラットフォーム基盤のセキュリティ脆弱性をタイムリーかつ正確に検出し、企業のビジネスの効率的かつ円滑な発展を確保し、企業情報資産のセキュリティを維持するための強力な保護を提供します。

脆弱性スキャンとは、スキャンやその他の手段を通じて脆弱性データベースに基づいて指定されたリモートまたはローカル コンピュータ システムのセキュリティ上の脆弱性を検出し、悪用可能な脆弱性を発見するセキュリティ検出 (侵入攻撃) 動作を指します。ネットワーク セキュリティ保護は防御と攻撃のゲームであり、情報セキュリティを確保するための基礎となります。したがって、自社の情報プラットフォームの抜け穴や問題をタイムリーかつ正確に発見することによってのみ、情報セキュリティ戦争で優位に立ち、無敵になることができます。

Web脆弱性スキャンUWS（クローラーシングルタイム）サービスには明らかな利点がある

ウェブサイトのリスク脆弱性は、サイト攻撃の根本的な原因です。 Web脆弱性スキャンUWS（シングルクローラー）サービスは、国際的に権威のあるセキュリティ組織WASCによって分類された複数のシステム脆弱性と25種類のWebアプリケーション脆弱性のリモートスキャンをサポートし、OWASP Top 10 Webアプリケーションリスクを完全にカバーします。

1. 適用シナリオ

• 日常的な運用とメンテナンス中に、現在の Web サイトの脆弱性をいつでも把握できます。

• ウェブサイトアプリケーションが正式にリリースされる前に、客観的なセキュリティデータを提供します。

お客様は、Web サイト情報システムのセキュリティ レベル保護を分類および評価する準備をしており、脆弱性スキャンを実行する必要があります。情報システムのセキュリティレベル保護の基本要件によれば、重要なセキュリティ脆弱性を発見する能力は、第 2 レベル以上のセキュリティ保護レベルを申請する情報システムが備えるべき基本的なセキュリティ保護機能です。

2. サービスの特徴

• 導入は不要、オンデマンドで使用可能

Web脆弱性スキャンUWS（シングルクローラー）サービスは純粋なSaaSサービスであるため、お客様はハードウェアやソフトウェアをインストールする必要がなく、現在のネットワーク展開状況を変更する必要もありません。従量課金制のアプローチにより、お客様はセキュリティ ソフトウェアや機器の購入にかかる投資とメンテナンスのコストを節約できるだけでなく、セキュリティ担当者への投資も削減され、人件費と管理費も節約できます。

• 包括的なウェブアプリケーションセキュリティ評価

Web脆弱性スキャンUWS（シングルクローラー）サービスのセキュリティ評価サービス範囲には、ポータルサイト、電子商取引、オンラインビジネスホールなど、さまざまなWebアプリケーションシステムが含まれます。その包括性は、次の 2 つの側面にも反映されています。

検出範囲:

• Ajax、Flash、JavaScript などの Web2.0 環境をカバーします。
• PHP、ASP、.NET、Java などのプログラミング言語をサポートします。
• IIS、Apache、Nginx、Tomcat およびその他の Web サーバーをサポートします。
• さまざまな静的ページ (サフィックス: html、htm など) と動的ページ (サフィックス: asp、jsp、php、asp、jsp、php、aspx、phtml、shtml、xhtml、do など) をサポートします。
• Flash 攻撃の検出、複雑な文字エンコード、セッション トークンの管理、複数の認証方法 (Basic、NTLM、Cookie、SSL など) をサポートします。
• プロキシスキャン、HTTPSスキャンなどをサポートします。

リスク分析:

• 脅威の重大度レベル（高、中、低）に基づく WASC 脆弱性分類とリスク分析をサポートします。
• OWASP TOP10 脆弱性分類とリスク分析の 2 つのバージョンをサポートし、ユーザーに信頼性の高い分析結果を提供します。
• リスクの比較分析と傾向分析をサポートしており、複数のサイトに対して差別化されたリスク管理を行うことができるだけでなく、サイトの過去のリスク状況と将来のリスク傾向をより正確に理解および分析し、リスク管理のレベルを向上させることができます。

• 高速かつ安定したスキャン

Web脆弱性スキャンUWS（シングルクローラー）サービスは、UCloudとGreen Alliance Technologyの長年のセキュリティ技術の蓄積に基づいています。インテリジェントなページクロール、動的リソース調整、プロキシ キャッシュ メカニズム、リアルタイム タスク スケジューリングなどのテクノロジを使用して、大規模な Web サイトの高速かつ安定したスキャンを実現します。

• 非破壊的な脆弱性スキャン

ウェブサイトのビジネスの健全性は、ウェブサイトの運用と保守において重要な指標であり、Web 脆弱性スキャン UWS (シングル クローラー) サービスはロスレス脆弱性スキャン技術を使用しているため、サービスがウェブサイトのビジネスの健全性に影響を与えることを回避できます。

• オールラウンドなテストを1つに

IT システムの多くの側面は攻撃者に対して脆弱です。これらの側面には、一般的なオペレーティング システムの脆弱性、アプリケーション システムの脆弱性、弱いパスワード、見落とされやすい誤ったセキュリティ構成の問題、最小化の原則に違反して開かれる不要なアカウント、サービス、ポートなどが含まれます。

Web 脆弱性スキャン UWS (シングル クローラー) サービスは、システムの既存の脆弱性を包括的に検出し、システムのセキュリティ脆弱性、セキュリティ構成の問題、アプリケーション システムのセキュリティ脆弱性を発見できます。システムの既存の弱いパスワードを確認します。システムの不要な開いているアカウント、サービス、ポートを収集します。最終的には、セキュリティ マネージャーが攻撃者よりも先にセキュリティの問題を発見し、適時に修復できるようにするために、全体的なセキュリティ リスク レポートが作成されます。

• 豊富な脆弱性ライブラリ

Web 脆弱性スキャン UWS (シングル クローラー) サービスの脆弱性ライブラリは、Green Alliance Technology の UCloud セキュリティ チームと NSFOCUS セキュリティ チームから提供されています。その中には、脆弱性の追跡や将来予測の研究を行ったり、国際的に著名なネットワーク セキュリティ ベンダーに関連する脆弱性のルール サポートを提供したりしている専任の研究者も多数います。特定のルールの更新は、Web 脆弱性スキャン (シングル クローラー) サービスの脆弱性ナレッジ ベースと検出ルールの保守を担当する UCloud セキュリティ担当者と NSFOCUS セキュリティ チームが共同で実行します。 2 週間ごとの定期的なアップグレードに加えて、重大な脆弱性に対するアップグレードは、世界中で最初に発見されてから 2 日以内に完了できます。

専門のセキュリティ チームの研究の蓄積を基に、Web 脆弱性スキャン UWS (シングル クローラー) サービスのナレッジ ベースには、すでに 10,000 件を超えるシステム脆弱性情報が蓄積されており、主流の基本システム、アプリケーション システム、ネットワーク機器、その他のネットワーク要素オブジェクトがすべて網羅されています。同時に、ナレッジ ベースでは、7 つのカテゴリの 30 を超える製品と数百のシステム バージョンの構成チェック ライブラリも提供され、Green Alliance Technology はプロのセキュリティ ベンダーとして、強化とパッチ適用の提案も提供します。

セキュリティ評価は、Web サイトのセキュリティを確保するための重要な手段です。スキャンを行うことで、対象のウェブサイトにハッカーが悪用できるトロイの木馬やさまざまな抜け穴があるかどうかを調べ、ウェブサイトの抜け穴を修正する作業を促進することができます。これはセキュリティ問題を根本的に解決する効果的な方法です。 Web 脆弱性スキャン UWS (シングル クローラー) サービスは、便利な構成、包括的かつ迅速な検出機能、および複数の環境への適応性を備え、企業の Web サイトのリスク管理の強力なアシスタントとなっています。政府、レベル保護評価機関、公安、事業者、金融、エネルギー、教育、医療、インターネットなどの業界で幅広く使用でき、Web アプリケーションのセキュリティ検査やリスク自己評価に適しています。