APIスキャン

エンド・ツー・エンドのAPIセキュリティ

APIの脆弱性を自動的にマッピングし、スキャンします。長いDASTや入念なペンテストに費やす時間とリソースを節約します。

自動APIディスカバリー
REST & GraphQLファジングサポート
OWASPの主要リスクを網羅

無料で始める

CC不要

デモを予約する

25k以上の機関から信頼｜30秒で結果を見る。

Aikido使えば、たった30秒で問題を解決できます。ボタンをクリックし、PRをマージすれば完了です」。

Aikido自動修復機能は、私たちのチームにとって大きな時間節約になります。ノイズをカットしてくれるので、開発者は本当に重要なことに集中できます。"

Aikido使えば、セキュリティは私たちの仕事の一部です。高速で、統合されており、開発者にとって実際に役立っています。"

世界25,000以上の組織から選ばれる

HRテック

企業

消費者

代理店

企業

消費者

HRテック

エンタープライズ・サービス

企業

フィンテック

ヘルステック

グループ会社

セキュリティテック

企業

HRテック

企業

消費者

代理店

企業

消費者

HRテック

エンタープライズ・サービス

企業

フィンテック

ヘルステック

グループ会社

セキュリティテック

企業

自動化されたAPIディスカバリーとセキュリティ

Aikido 、APIをテストするためのサンプルトラフィックデータを生成します。 Swagger-to-traffic.と組み合わせて Zen自動APIディスカバリと組み合わせることで、(文書化されていない)エンドポイントや忘れ去られたエンドポイントが見落とされることはありません。大規模なインフラや最新のドキュメントは必要ありません。

更新されたSwaggerドキュメント/OpenAPI仕様の入手
攻撃対象領域を理解する
APIを完全にカバーする
シャドウ＆ゾンビAPIの検出

コンテキストAPIスキャン

通常のコードチェックを超える。APIの脆弱性と欠陥を自動的にスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。

手作業の削減
ペンテストの模倣、自動化、スケールアップ
コンテキストを考慮したDASTでより多くの脆弱性を見つける

なぜAikidoを選ぶのか？

AikidoのAPIスキャナーの仕組み

Swaggerとトラフィックデータを元にしたエンドポイントのキュレーション作業

AikidoのAPIセキュリティスキャナーは、ファジングと呼ばれる手法を用いて、テスト用のパラメータを含むAPIエンドポイントのリストを作成します。高品質で現実的なサンプルデータを取得するために、 Swagger-to-trafficを使用しています。

プッシュ・インテリジェント・リクエスト

AIを活用し、攻撃（SQLインジェクション、バリデーションエラーなど）をシミュレートするための標的型プッシュリクエストを送信します。

AIによるフィードバック

私たちのAI搭載モデルは、値の送信から再送信リクエストのレスポンス分析に至るまで、手作業で行うペンテストをできるだけ忠実に模倣し、効率的なセキュリティテストを実現します。

特徴

余計な企業的オーバーヘッドに縛られず、自由に動けるチームのために作られています

APIを完全にカバー

AikidoのAPIセキュリティテストは、RESTとGraphQLを確実にカバーします。

組織に合わせて拡張可能

パフォーマンスを損なうことなく、最も重要な脆弱性を修正します。

Swaggerドキュメントの自動作成と検証

Zen 有効にすると、すべてのAPIが自動的に検出され、ドキュメント化されます。新しく作成された API エンドポイントは自動的に Swagger ドキュメントに追加され、脆弱性がテストされます。

LLMに基づくサンプルデータの自動生成

お客様のAPIスキーマと期待される入力内容に基づき、実践的で意味のあるテストデータを生成いたします。

1つのプラットフォームでフルカバレッジ

散在しているツールスタックを、すべてをこなし、何が重要かを示してくれる1つのプラットフォームに置き換えましょう。

コードとコンテナ

オープンソース依存性スキャン（SCA）

既知の脆弱性、CVE、その他のリスクについてコードを継続的に監視します。

さらに詳しく

コード

静的コード解析（SAST）

問題をマージする前に、ソースコードのセキュリティリスクをスキャンします。

さらに詳しく

ドメイン

アタックサーフェス監視 (DAST)

Webアプリケーションのフロントエンドを動的にテストし、模擬攻撃を通して脆弱性を見つけます。

さらに詳しく

クラウド

クラウド姿勢管理（CSPM）

主要クラウドプロバイダーのクラウドインフラのリスクを検出します。

さらに詳しく

コード

シークレット・ディテクション

APIキー、パスワード、証明書、暗号化キーなどが漏れていないか、公開されていないか、コードをチェックします。

さらに詳しく

コードとコンテナ

オープンソースライセンスのスキャン

デュアルライセンス、制限条項、悪い評判などのリスクについて、お客様のライセンスを監視します。

さらに詳しく

コード

依存関係におけるマルウェア検出

ソフトウェアのサプライチェーンを保護し、悪意のあるパッケージの混入を防ぎます。

さらに詳しく

コード

コードとしてのインフラ

Terraform、CloudFormation、Kubernetesのinfrastructure-as-codeに設定ミスがないかスキャンします。

さらに詳しく

コードとコンテナ

時代遅れのソフトウェア

使用しているフレームワークやランタイムがサポート終了していないか確認します。

さらに詳しく

コンテナ

コンテナ画像スキャン

コンテナOSのパッケージにセキュリティ上の脆弱性や問題がないかをスキャンします。

さらに詳しく

従来のAPIセキュリティテストの改革

サンプルデータ作成

展開の複雑さ

テストカバレッジの深さ

スワッガー・トゥ・トラフィック

ロードバランサー不要

ダイナミックAPIディスカバリー

従来のAPIスキャナー

手動入力が必要

企業レベルの複雑さ

不完全なテスト

よくあるご質問

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション

AikidoのAPI Scannerはどのように活用すればよいですか？

API Scannerのテストはステージング環境でのみ行うことをお勧めします。なぜなら、実際に起こりうる（そしてアプリをダウンさせる可能性のある）激しい攻撃をシミュレートしているからです。

「ファジング」とはどういう意味か？

ファジングとは、不正または予期しない入力を大量にAPIに送信し、入力検証の失敗、バッファオーバーフロー、インジェクション攻撃、その他のセキュリティ上の欠陥といった潜在的な脆弱性を検出するためのテスト手法です。

APIファジングの目的は、攻撃者に悪用される可能性のあるAPIの実装の弱点や脆弱性を発見することである。予期しない、あるいは不適切にフォーマットされたデータを注入することによって、ファジングはAPIが入力を処理する方法における欠陥や意図しない動作を明らかにすることができる。このアプローチは、攻撃者がシステムを侵害するために利用するかもしれないセキュリティリスクを特定するのに役立ちます。

Swagger-to-trafficとは？

当社のLLMでお客様のSwagger (OpenAPI) ドキュメントを分析することにより、お客様のAPIのスキーマと期待される入力に合わせた意味のあるデータ例を生成することができます。この生成されたデータは、脆弱性を発見するためのファジングテスト（DAST）で使用されます。

API ScannerはすべてのAPIフォーマットに対応できますか？

現在、RESTとGraphQLに対応しています。APIはしばしば、従来のAIモデルでは処理が難しい循環参照のような、複雑で型にとらわれないデータ形式を含んでいます。Aikidoは、インテリジェントなグラフチェックシステムでこれを解決し、大規模言語モデル（LLM）によるシームレスな処理を保証するために、循環チェーンを切断します。

さらに、当社のアプリ内ファイアウォールであるZenと組み合わせて使用すると、Aikido Swaggerドキュメントを自動作成することができ、新しく作成されたAPIエンドポイントを自動的にドキュメント化し、脆弱性をテストすることができます。