Aikido
APIスキャン

エンド・ツー・エンドのAPIセキュリティ

APIの脆弱性を自動的にマッピングし、スキャンします。長いDASTや入念なペンテストに費やす時間とリソースを節約します。

  • 自動APIディスカバリー
  • REST & GraphQLファジングサポート
  • OWASPの主要リスクを網羅
25k以上の機関から信頼|30秒で結果を見る。
オートフィックス・タブ付きダッシュボード

Aikido使えば、たった30秒で問題を解決できます。ボタンをクリックし、PRをマージすれば完了です」。

Aikido自動修復機能は、私たちのチームにとって大きな時間節約になります。ノイズをカットしてくれるので、開発者は本当に重要なことに集中できます。"

Aikido使えば、セキュリティは私たちの仕事の一部です。高速で、統合されており、開発者にとって実際に役立っています。"

世界25,000以上の組織から選ばれる

HRテック
企業
消費者
代理店
企業
企業
消費者
HRテック
エンタープライズ・サービス
企業
フィンテック
フィンテック
ヘルステック
グループ会社
セキュリティテック
企業
企業
HRテック
企業
消費者
代理店
企業
企業
消費者
HRテック
エンタープライズ・サービス
企業
フィンテック
フィンテック
ヘルステック
グループ会社
セキュリティテック
企業
企業

自動化されたAPIディスカバリーとセキュリティ

Aikido 、APIをテストするためのサンプルトラフィックデータを生成します。 Swagger-to-traffic.と組み合わせて Zen自動APIディスカバリと組み合わせることで、(文書化されていない)エンドポイントや忘れ去られたエンドポイントが見落とされることはありません。大規模なインフラや最新のドキュメントは必要ありません。

  • 更新されたSwaggerドキュメント/OpenAPI仕様の入手
  • 攻撃対象領域を理解する
  • APIを完全にカバーする
  • シャドウ&ゾンビAPIの検出

コンテキストAPIスキャン

通常のコードチェックを超える。APIの脆弱性と欠陥を自動的にスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。

  • 手作業の削減
  • ペンテストの模倣、自動化、スケールアップ
  • コンテキストを考慮したDASTでより多くの脆弱性を見つける
なぜAikidoを選ぶのか?

AikidoのAPIスキャナーの仕組み

Swaggerとトラフィックデータを元にしたエンドポイントのキュレーション作業

AikidoのAPIセキュリティスキャナーは、ファジングと呼ばれる手法を用いて、テスト用のパラメータを含むAPIエンドポイントのリストを作成します。高品質で現実的なサンプルデータを取得するために、 Swagger-to-trafficを使用しています。

プッシュ・インテリジェント・リクエスト

AIを活用し、攻撃(SQLインジェクション、バリデーションエラーなど)をシミュレートするための標的型プッシュリクエストを送信します。

AIによるフィードバック

私たちのAI搭載モデルは、値の送信から再送信リクエストのレスポンス分析に至るまで、手作業で行うペンテストをできるだけ忠実に模倣し、効率的なセキュリティテストを実現します。

特徴

余計な企業的オーバーヘッドに縛られず、自由に動けるチームのために作られています

APIを完全にカバー

AikidoのAPIセキュリティテストは、RESTとGraphQLを確実にカバーします。

組織に合わせて拡張可能

パフォーマンスを損なうことなく、最も重要な脆弱性を修正します。

Swaggerドキュメントの自動作成と検証

Zen 有効にすると、すべてのAPIが自動的に検出され、ドキュメント化されます。新しく作成された API エンドポイントは自動的に Swagger ドキュメントに追加され、脆弱性がテストされます。

LLMに基づくサンプルデータの自動生成

お客様のAPIスキーマと期待される入力内容に基づき、実践的で意味のあるテストデータを生成いたします。

1つのプラットフォームでフルカバレッジ

散在しているツールスタックを、すべてをこなし、何が重要かを示してくれる1つのプラットフォームに置き換えましょう。

コードとコンテナ

オープンソース依存性スキャン(SCA)

既知の脆弱性、CVE、その他のリスクについてコードを継続的に監視します。

コード

静的コード解析(SAST)

問題をマージする前に、ソースコードのセキュリティリスクをスキャンします。

ドメイン

アタックサーフェス監視 (DAST)

Webアプリケーションのフロントエンドを動的にテストし、模擬攻撃を通して脆弱性を見つけます。

クラウド

クラウド姿勢管理(CSPM)

主要クラウドプロバイダーのクラウドインフラのリスクを検出します。

コード

シークレット・ディテクション

APIキー、パスワード、証明書、暗号化キーなどが漏れていないか、公開されていないか、コードをチェックします。

コードとコンテナ

オープンソースライセンスのスキャン

デュアルライセンス、制限条項、悪い評判などのリスクについて、お客様のライセンスを監視します。

コード

依存関係におけるマルウェア検出

ソフトウェアのサプライチェーンを保護し、悪意のあるパッケージの混入を防ぎます。

コード

コードとしてのインフラ

Terraform、CloudFormation、Kubernetesのinfrastructure-as-codeに設定ミスがないかスキャンします。

コードとコンテナ

時代遅れのソフトウェア

使用しているフレームワークやランタイムがサポート終了していないか確認します。

コンテナ

コンテナ画像スキャン

コンテナOSのパッケージにセキュリティ上の脆弱性や問題がないかをスキャンします。

従来のAPIセキュリティテストの改革

サンプルデータ作成
展開の複雑さ
テストカバレッジの深さ
スワッガー・トゥ・トラフィック
代表的なサンプル値をフィールドに自動的に入力し、検査の質と深度を向上させます。
ロードバランサー不要
企業インフラを持たない中規模組織での使いやすさを考慮して設計されています。
ダイナミックAPIディスカバリー
Zen使用して、Aikido Swaggerファイルを自動作成し、ドキュメント化されていないAPIを特定し、エンドポイントの見落としがないようにする。

従来のAPIスキャナー

手動入力が必要
ユーザーは通常、テストのためにサンプル値を入力しなければならず、時間を浪費する。
企業レベルの複雑さ
他のソリューションはロードバランサーに依存していることが多く、中堅企業には利用しにくい。
不完全なテスト
多くのツールはフィールド値の送信を完全にスキップするため、完全なスキャンにはならない。

AikidoのAPI Scannerはどのように活用すればよいですか?

API Scannerのテストはステージング環境でのみ行うことをお勧めします。なぜなら、実際に起こりうる(そしてアプリをダウンさせる可能性のある)激しい攻撃をシミュレートしているからです。

「ファジング」とはどういう意味か?

ファジングとは、不正または予期しない入力を大量にAPIに送信し、入力検証の失敗、バッファオーバーフロー、インジェクション攻撃、その他のセキュリティ上の欠陥といった潜在的な脆弱性を検出するためのテスト手法です。

APIファジングの目的は、攻撃者に悪用される可能性のあるAPIの実装の弱点や脆弱性を発見することである。予期しない、あるいは不適切にフォーマットされたデータを注入することによって、ファジングはAPIが入力を処理する方法における欠陥や意図しない動作を明らかにすることができる。このアプローチは、攻撃者がシステムを侵害するために利用するかもしれないセキュリティリスクを特定するのに役立ちます。

Swagger-to-trafficとは?

当社のLLMでお客様のSwagger (OpenAPI) ドキュメントを分析することにより、お客様のAPIのスキーマと期待される入力に合わせた意味のあるデータ例を生成することができます。この生成されたデータは、脆弱性を発見するためのファジングテスト(DAST)で使用されます。

API ScannerはすべてのAPIフォーマットに対応できますか?

現在、RESTとGraphQLに対応しています。APIはしばしば、従来のAIモデルでは処理が難しい循環参照のような、複雑で型にとらわれないデータ形式を含んでいます。Aikidoは、インテリジェントなグラフチェックシステムでこれを解決し、大規模言語モデル(LLM)によるシームレスな処理を保証するために、循環チェーンを切断します。 

さらに、当社のアプリ内ファイアウォールであるZenと組み合わせて使用すると、Aikido Swaggerドキュメントを自動作成することができ、新しく作成されたAPIエンドポイントを自動的にドキュメント化し、脆弱性をテストすることができます。

Swaggerドキュメントの自動作成機能を利用するには、Zen 別途購入する必要がありますか?

Zen すべてのプランに含まれています。詳しくは料金ページをご覧ください。

API Scannerは、私のペンテストプラクティスに取って代わることができますか?

そうですね。私たちのシステムは、手動ペンテスターと比較して、より多くの(または他の)問題を発見することがよくあります。私たちはAPIスキャナーの完全性を信頼していますが、人間の独創的なアプローチが、時折、追加的な問題やユニークな問題を発見することがあることをお忘れなく。

申し訳ありませんが、現在適切なAPIドキュメントが未整備の状態です。代わりにこちらのリソースを使用してもよろしいでしょうか?

はい!エンタープライズグレードのAPIスキャナとは異なり、Aikidoのソリューションは、大規模なインフラや最新のドキュメントを必要とせずに動作します。適切なSwaggerドキュメント/OpenAPI仕様が不足している場合は、当社のアプリ内ファイアウォールZenを稼働させるだけで対応できます。

当社のアプリ内ファイアウォールを使用できない(または使用したくない)場合は、APIスキャナを動作させるためにAPIドキュメントを提供する必要があります。

無料で安全を確保

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

クレジットカードは不要。