BurpSuiteとは
BurpSuiteは、PortSwiggerが開発したWebアプリケーションのセキュリティテストを行うための統合プラットフォームのことです。
このシステムを使うことで、利用形態に関わらずアプリケーションのセキュリティテストを素早く実施することができます。
世界中の70,000人以上のセキュリティ専門家によって選ばれているツールで、2020年にはGartner Peer Insights Customers’ Choiceに選定されています。
BurpSuiteの特徴
BurpSuiteの特徴について解説をします。
特徴①無償で利用できる
BurpSuiteは、有償版もありますが基本無料で利用することができます。
無償版でも、Burp Intruderの機能を一部利用することが可能です。
この機能を使うことで、悪意のあるHTTPSリクエストの生成が可能で、様々な要因からの脆弱性を検出します。
また、コンテンツの自動探索やセキュリティ上の穴を自動検索できる「Burp Scanner」の全ての機能も利用することができます。
特徴②Burp Suite エンタープライズ版
Burp Suite エンタープライズ版は、有償ですが安全性がより高くスピーディーにセキュリティテストを実施することができます。
機能中には、数千のサイトを定期的かつ動的にスキャン実行します。
一括で、大規模なスキャンができるため簡単に導入できますし新プリにレポートすることが可能です。
また、視覚的なダッシュボードによって長期にわたる傾向を可視化することができます。
特徴③OWASP Top 10に対応
OWASP Top 10とは、Webに関する脆弱性などを研究しているOWASPが危険度が最も高いと判断した10個の項目のことです。
そんな、OWASP Top 10にBurpSuiteは対応しています。
ピンポイントで、OWASP Top 10に対するセキュリティ診断ができるので最低限必要なセキュリティテストを実施することができます。
この機能によって、最悪の事態に対しての対策を講じることが可能になるのです。
Burp Suiteのおすすめポイント・強み
レポート機能
Burp SuiteのEnterprise Editionは、ワンクリックでのセキュリティ検知を可能とします。
サイトクローリングに必要なものはURLのみとなっており、スキャンのスケジュールは日単位、週単位など柔軟に設定することができます。
DAST /OAST/LASTなどのWebアプリのテスト手法を組み合わせ、リスクの高い脆弱性を素早く検知し、誤った検知を最小限に抑え、セキュリティ診断をスムーズにすることが可能です。
また、レポート機能でセキュリティ体制を確認し、ダッシュボードでタイプ別の脆弱性を明らかにすることもできます。
セキュリティ診断を効率化
Burp Suiteには、Burp Proxyという機能が搭載されており、セキュリティ診断時にブラウザ上で効率的にチェックすることが可能です。
httpsが使用されている場合も、Webサイトやアプリケーション間の通信内容を書き換えることができるため、効率的なセキュリティ診断を実現します。
Burp Suiteのプランについて
Burp Suite Community Edition
Burp SuiteのCommunity Editionは、無償で利用することができます。
ただし、Professional Editionに搭載されている以下の機能が利用できません。
- プロジェクトファイルの保存機能
- Burp Intruderの一部機能
- 一部のBAppのインストール
- Burp Collaborator全機能
Burp Suiteの資料をダウンロード
Burp Suiteの料金・価格
初期費用 | 要問い合わせ |
---|---|
月額費用 | Community Edition:0円 |
Burp Suiteの評判・口コミ
※各種ITツール・SaaS製品口コミサイトの平均の点数を一部参考にしています。
以下のような口コミがありました。
Burp Suiteの良い評判・口コミ
・世界的に導入実績があるサービスなので、安心して利用することができる。
・直感的なUIなので、分かりやすくセキュリティ制御を行える
Burp Suiteのその他の評判・口コミ
・他社のサービスと比べると少し値段が高い
・データが大量にあるときには、固まったり遅くなったりすることがあった。
Burp Suiteを導入した結果に関する評判・口コミ
・BurpSuiteを利用することで、セキュリティ業務を効率化することができた。
-
満足度
世界基準のセキュリティ対策ができます
良い点
世界で実績のあるサービスなので安心して利用できます。
改善点
日本の代理店で日本向けにローカライズしてくれるところが必要です。
導入して改善できた課題や効果
世界基準のセキュリティサービスなので、アプリケーション自体や診断結果の信頼性が上がります。人の手では漏れが発生していたかもしれない脆弱性などを確認できるので、セキュリティの改善だけでなくリスク回避にもなっています。
-
満足度
インターフェースが直感的で使いやすいです
良い点
バグやセキュリティリスクの検知が優れています。
改善点
基本は英語圏向けのサービスなので、そこを理解して利用する必要があります。
導入して改善できた課題や効果
セキュリティスキャン自体はワンクリックで完了するものの、結果は非常に精度が高く満足しています。様々なテスト方法を組み合わせることで、アプリで発生するであろうバグや脆弱性に対して事前にしっかり対策できます。