Aikido

Aikido vs XBOW - 概要

Doyensecはベンチマークを実行し、すべての調査結果を検証しました。その結果を、チーム全員が5分以内で読めるよう、簡潔なエグゼクティブサマリーにまとめました。

  • Aikido 同価格帯で58%多くの脆弱性を発見した

    これら2つのアプリ全体で、 Aikido は49件の検証済み脆弱性を発見したのに対し、XBOWは31件でした。価格は同じ、対象も同様でありながら、カバレッジは58%上回っています。深刻度別でもその差は顕著で、「高」および「重大」は9件対5件、「低」および「中」は32件対18件となっています。

  • Aikido 20分で実行されたが、XBOWには契約が必要だった

    Aikido は、どちらのアプリでも20分以内に実行でき、セルフサービスで、契約も不要、営業電話もありませんでした。XBOWの場合は、スキャンを開始する前に営業担当者の手配と契約書の署名が必要だったため、最初のテストが最大6日間遅れてしまいました。レポートも同様のパターンで、 Aikido ペンテスト 瞬間に各レポートを配信したのに対し、XBOWのレポートは最大5日遅れて届いた。

  • 再テストは何度でも可能で、その過程で不具合は一切発生しませんでした

    再試験の際、 Aikido は90日間無制限に再テストが可能で、結果は数分で返ってくるのに対し、XBOWは30日以内に1回のみの再テストしかできません。実際の利用体験も異なっていました。 Aikido は両方のテストをインシデントゼロで完了しました。一方、XBOWのFider実行では、複数回のクラッシュが発生し、テストアカウントが削除され、認証メカニズムが無効化され、終了までに4,800通以上のメールが送信されました。

まとめ

結論として

どちらのツールも実際のバグを発見し、誤検知率も低く抑えられていました。 Aikido が3%、XBOWが3%と、誤検知率を低く抑え、重大度の判定精度も69%と68%でほぼ同水準でした。両者の違いは、カバレッジと開発工数にあります。 Aikido は検証範囲が広く、結果の返却も速く、しかもシステムに支障をきたすことなく処理を完了しました。

学べること

学習内容:

  • 深刻度の詳細な分類(「高」や「重大」から「低」まで)
  • 各ツールが各アプリでどのバグを検出できたか、またどのバグを見逃したか
  • 各交戦において何が問題だったのか、またその頻度はどの程度か
  • 各側におけるセットアップ、スキャン、およびレポートの配信に要した時間
  • 各ツールがマルチロールおよびSSOのテストに対応できるかどうか
著者:
マリオ・ポペスク

マリオ・ポペスクは、 Aikido Securityの製品マーケティングマネージャーを務めており、製品の機能を市場が理解しやすいメリットへと変換する役割を担っています。動画を含むコンテンツの執筆・制作、ケーススタディの作成を行い、営業チームやカスタマーチームが実務で活用できる資料を提供しています。これまでの経歴には、コンテンツ制作、製品マーケティング、市場投入に向けた動画制作、および攻撃的セキュリティなどが含まれます。

主な調査結果

  • Aikido 同価格帯で58%多くの脆弱性を発見した

    これら2つのアプリ全体で、 Aikido は49件の検証済み脆弱性を発見したのに対し、XBOWは31件でした。価格は同じ、対象も同様でありながら、カバレッジは58%上回っています。深刻度別でもその差は顕著で、「高」および「重大」は9件対5件、「低」および「中」は32件対18件となっています。

  • Aikido 20分で実行されたが、XBOWには契約が必要だった

    Aikido は、どちらのアプリでも20分以内に実行でき、セルフサービスで、契約も不要、営業電話もありませんでした。XBOWの場合は、スキャンを開始する前に営業担当者の手配と契約書の署名が必要だったため、最初のテストが最大6日間遅れてしまいました。レポートも同様のパターンで、 Aikido ペンテスト 瞬間に各レポートを配信したのに対し、XBOWのレポートは最大5日遅れて届いた。

  • 再テストは何度でも可能で、その過程で不具合は一切発生しませんでした

    再試験の際、 Aikido は90日間無制限に再テストが可能で、結果は数分で返ってくるのに対し、XBOWは30日以内に1回のみの再テストしかできません。実際の利用体験も異なっていました。 Aikido は両方のテストをインシデントゼロで完了しました。一方、XBOWのFider実行では、複数回のクラッシュが発生し、テストアカウントが削除され、認証メカニズムが無効化され、終了までに4,800通以上のメールが送信されました。

まとめ

結論として

どちらのツールも実際のバグを発見し、誤検知率も低く抑えられていました。 Aikido が3%、XBOWが3%と、誤検知率を低く抑え、重大度の判定精度も69%と68%でほぼ同水準でした。両者の違いは、カバレッジと開発工数にあります。 Aikido は検証範囲が広く、結果の返却も速く、しかもシステムに支障をきたすことなく処理を完了しました。

学べること

学習内容:

  • 深刻度の詳細な分類(「高」や「重大」から「低」まで)
  • 各ツールが各アプリでどのバグを検出できたか、またどのバグを見逃したか
  • 各交戦において何が問題だったのか、またその頻度はどの程度か
  • 各側におけるセットアップ、スキャン、およびレポートの配信に要した時間
  • 各ツールがマルチロールおよびSSOのテストに対応できるかどうか

Doyensecはベンチマークを実行し、すべての調査結果を検証しました。その結果を、チーム全員が5分以内で読めるよう、簡潔なエグゼクティブサマリーにまとめました。

著者:
マリオ・ポペスク

マリオ・ポペスクは、 Aikido Securityの製品マーケティングマネージャーを務めており、製品の機能を市場が理解しやすいメリットへと変換する役割を担っています。動画を含むコンテンツの執筆・制作、ケーススタディの作成を行い、営業チームやカスタマーチームが実務で活用できる資料を提供しています。これまでの経歴には、コンテンツ制作、製品マーケティング、市場投入に向けた動画制作、および攻撃的セキュリティなどが含まれます。