株式会社エーアイセキュリティラボは12月6日、脆弱性診断の自動化ツール「AeyeScan」の評価基準をASVS v4.0からv5.0に変更すると発表した。
「AeyeScan」は、AIとRPA(Robotic Process Automation)を活用したSaaS型Webアプリケーション脆弱性診断ツールで、診断結果は画面キャプチャ付きの画面遷移図で可視化するだけでなく、日本語レポートで提供される。
OWASPから2025年5月に発表されたASVSの最新版v5.0では前バージョンの内容が見直され、要求項目の整理や改善、適正化が図られており、AeyeScanでも、従来利用してきたv4.0からv5.0へ移行することで、より実態に即した診断結果を提供できるよう、最新版を適用するという。
「AeyeScan」では、評価基準の変更に伴い下記のスキャンルールを追加・変更している。
・スキャンルール追加
HTTP GETメソッドによる確定処理
安全でないWebSocket通信
固定のセッションID
JWTトークンの署名検証の不備(API)
JWTトークンの署名検証の不備
・スキャンルール変更
Set-CookieヘッダのSecure属性の不備
Strict-Transport-Securityヘッダの不備
パスワード強度の不備
セッションIDの強度の不備
スキャンルールセット「WEBアプリケーションスキャン」を利用の場合は、自動で本スキャンルールも適用されるため、顧客での対応は不要。
