![https://sheepdog.co.jp/wp-content/uploads/2023/10/2023_01_11_10_36_burpsuite.png](https://sheepdog.co.jp/wp-content/uploads/2023/10/2023_01_11_10_36_burpsuite.png)
BurpSuiteとは
BurpSuiteは、PortSwiggerが開発したWebアプリケーションのセキュリティテストを行うための統合プラットフォームのことです。
このシステムを使うことで、利用形態に関わらずアプリケーションのセキュリティテストを素早く実施することができます。
世界中の70,000人以上のセキュリティ専門家によって選ばれているツールで、2020年にはGartner Peer Insights Customers’ Choiceに選定されています。
BurpSuiteの特徴
BurpSuiteの特徴について解説をします。
特徴①無償で利用できる
BurpSuiteは、有償版もありますが基本無料で利用することができます。
無償版でも、Burp Intruderの機能を一部利用することが可能です。
この機能を使うことで、悪意のあるHTTPSリクエストの生成が可能で、様々な要因からの脆弱性を検出します。
また、コンテンツの自動探索やセキュリティ上の穴を自動検索できる「Burp Scanner」の全ての機能も利用することができます。
特徴②Burp Suite エンタープライズ版
Burp Suite エンタープライズ版は、有償ですが安全性がより高くスピーディーにセキュリティテストを実施することができます。
機能中には、数千のサイトを定期的かつ動的にスキャン実行します。
一括で、大規模なスキャンができるため簡単に導入できますし新プリにレポートすることが可能です。
また、視覚的なダッシュボードによって長期にわたる傾向を可視化することができます。
特徴③OWASP Top 10に対応
OWASP Top 10とは、Webに関する脆弱性などを研究しているOWASPが危険度が最も高いと判断した10個の項目のことです。
そんな、OWASP Top 10にBurpSuiteは対応しています。
ピンポイントで、OWASP Top 10に対するセキュリティ診断ができるので最低限必要なセキュリティテストを実施することができます。
この機能によって、最悪の事態に対しての対策を講じることが可能になるのです。
Securify (4.5) Securifyとは、株式会社スリーシェイクが運営している導入0円から始められるワンストップセキュリティ対策ツールです。 「Webアプリケーション診断」「SaaS診断」「WordPress診断」の機能を備えています。 SecurifyのWebアプリケーション診断は、簡単かつ短いステップで実現できます。 まずはプロジェクト名と内容を入力してプロジェクトを作成、診断対象のドメインまたはサブドメインを入力、最後に診断対象のURLを登録するだけで脆弱性の診断を始めることが可能です。 Securifyは、シンプルで直感的に操作ができるユーザーインターフェースで設計されています。 現在の診断状況や危険度は、ダッシュボードから一目で確認することができ、セキュリティに関する専門的な知識がない場合でも、脆弱性診断を実施、管理することができます。 Securifyの診断結果画面では、発見された脆弱性の危険度をスコアによって可視化することができ、その脆弱性によって起こりうる問題や修正方法の例を日本語で丁寧に解説してくれます。セキュリティ・脆弱性診断のおすすめ製品
月額費用 要問い合わせ 無料お試し 2週間 初期費用 要問い合わせ 最低導入期間 要問い合わせ 最短3ステップで診断開始
シンプルで使いやすいインターフェース
わかりやすい診断結果で改善をサポート
Burp Suiteのおすすめポイント・強み
レポート機能
Burp SuiteのEnterprise Editionは、ワンクリックでのセキュリティ検知を可能とします。
サイトクローリングに必要なものはURLのみとなっており、スキャンのスケジュールは日単位、週単位など柔軟に設定することができます。
DAST /OAST/LASTなどのWebアプリのテスト手法を組み合わせ、リスクの高い脆弱性を素早く検知し、誤った検知を最小限に抑え、セキュリティ診断をスムーズにすることが可能です。
また、レポート機能でセキュリティ体制を確認し、ダッシュボードでタイプ別の脆弱性を明らかにすることもできます。
セキュリティ診断を効率化
Burp Suiteには、Burp Proxyという機能が搭載されており、セキュリティ診断時にブラウザ上で効率的にチェックすることが可能です。
httpsが使用されている場合も、Webサイトやアプリケーション間の通信内容を書き換えることができるため、効率的なセキュリティ診断を実現します。
Burp Suiteのプランについて
Burp Suite Community Edition
Burp SuiteのCommunity Editionは、無償で利用することができます。
ただし、Professional Editionに搭載されている以下の機能が利用できません。
- プロジェクトファイルの保存機能
- Burp Intruderの一部機能
- 一部のBAppのインストール
- Burp Collaborator全機能
Burp Suiteの資料をダウンロード
Burp Suiteの料金・価格
初期費用 | 要問い合わせ |
---|---|
月額費用 | Community Edition:0円 |
Burp Suiteの評判・口コミ
※各種ITツール・SaaS製品口コミサイトの平均の点数を一部参考にしています。
以下のような口コミがありました。
Burp Suiteの良い評判・口コミ
・世界的に導入実績があるサービスなので、安心して利用することができる。
・直感的なUIなので、分かりやすくセキュリティ制御を行える
Burp Suiteのその他の評判・口コミ
・他社のサービスと比べると少し値段が高い
・データが大量にあるときには、固まったり遅くなったりすることがあった。
Burp Suiteを導入した結果に関する評判・口コミ
・BurpSuiteを利用することで、セキュリティ業務を効率化することができた。
-
満足度
世界基準のセキュリティ対策ができます
良い点
世界で実績のあるサービスなので安心して利用できます。
改善点
日本の代理店で日本向けにローカライズしてくれるところが必要です。
導入して改善できた課題や効果
世界基準のセキュリティサービスなので、アプリケーション自体や診断結果の信頼性が上がります。人の手では漏れが発生していたかもしれない脆弱性などを確認できるので、セキュリティの改善だけでなくリスク回避にもなっています。
-
満足度
インターフェースが直感的で使いやすいです
良い点
バグやセキュリティリスクの検知が優れています。
改善点
基本は英語圏向けのサービスなので、そこを理解して利用する必要があります。
導入して改善できた課題や効果
セキュリティスキャン自体はワンクリックで完了するものの、結果は非常に精度が高く満足しています。様々なテスト方法を組み合わせることで、アプリで発生するであろうバグや脆弱性に対して事前にしっかり対策できます。