Vulnyの仕組み
Vulnyは、セキュリティ・SEO・AI-search(GEO)の3つを同時に網羅する、安全で自動化された1回のスキャンを実行します。所有するウェブサイトのアドレスを入力すると、Vulnyは攻撃者・検索エンジン・AIアシスタントそれぞれのやり方でテストし、各項目について平易な言葉での修正を伴う優先順位付けされた所見を返します。各段階で何が行われるかを説明します。
外部脆弱性スキャンはどのように機能しますか?
外部スキャンは、攻撃者が侵入前に行うのとまったく同じように、公開インターネットからシステムを観察します。Vulnyはインターネットに面したホストを発見し、すべての開放ポートを見つけ、その背後にあるサービスとバージョンをフィンガープリントします。ウェブサーバー、メールサーバー、データベース、リモートアクセスサービスなどです。次に各サービスを既知の脆弱性と照合し、外部の人間が到達して悪用できるものを示します。認証情報やエージェントはインストールされません。スキャンは完全に外部から実行されるため、所有するあらゆるドメインやIPで数分のうちに開始できます。この外側からの視点が最も重要です。なぜなら、それはまさに攻撃者が最初に探る領域だからです。忘れられたサブドメインや、まだ稼働中だと誰も覚えていないステージングサーバーを含む、すべての露出したサービスが対象です。
ウェブアプリケーションスキャナーは何をチェックしますか?
Vulnyが見つけたすべてのウェブサービスは、最も頻繁に侵害につながる問題についてテストされます。これには、OWASP Top 10のクラス(インジェクション、アクセス制御の不備、セキュリティの設定ミスなど)に加え、バックアップ、.gitディレクトリ、設定ファイルや環境ファイルなどの露出した機密ファイル、欠落または脆弱なセキュリティヘッダー、公開すべきでないデフォルトページが含まれます。検出テンプレートは継続的に更新されるため、スキャナーはリリース時の固定リストだけでなく、新たに公開されたウェブの弱点もチェックし続けます。各所見は、その深刻度、影響を受けるURL、平易な言葉での修正とともに返されるため、開発者はセキュリティ専門家を必要とせずに再現して解消できます。テストは非破壊的です。Vulnyは弱点を悪用したりデータを変更したりせずに、その存在を確認します。
shadow-APIスキャンとは何ですか?
Shadow APIとは、存在するがドキュメントに記載されていないエンドポイントのことです。古いバージョン、忘れられた管理ルート、あるいはチームが誰にも知らせずにリリースしたサービスなどです。誰も監視していないため、格好の標的になります。Vulnyはアプリケーションをクロールして、文書化されたAPIエンドポイントと文書化されていないAPIエンドポイントの両方を発見し、SSRF、LFI、SSTI、パストラバーサルを含む認証・認可の不備やインジェクションのバグについて安全にファジングを行います。その結果は、所有していたことを忘れていた部分を含む、実際のAPI表面のマップと、それぞれがどこで脆弱かを示すものです。攻撃者がフロントエンドのウェブサイトではなくAPIを通じて企業を侵害することが増えているため、これは年々重要性を増しています。存在を知らないエンドポイントを守ることはできません。
VulnyはTLS / SSL構成をどのようにチェックしますか?
Vulnyは、TLSを使用するすべてのサービスで証明書と暗号化の設定を検査します。期限切れ、自己署名、または信頼されていない認証局によって発行された証明書や、攻撃者がダウングレードできる非推奨のプロトコルバージョンや脆弱な暗号スイートをまだ許可している構成にフラグを立てます。脆弱なTLS設定は他のすべてを静かに損なうため、これらのチェックはメインのウェブサイトだけでなく、暗号化された各ポートで実行され、何を変更すべきかを正確に伝えます。不適切なTLSが明白なエラーを出すことはまれであり、そのため何年も見過ごされます。サイトは依然として読み込まれ、鍵アイコンも表示されますが、接続が傍受されたりダウングレードされたりする可能性があります。Vulnyは、修正すべき具体的な証明書、プロトコル、暗号スイートとともに、これらの静かな弱点を浮き彫りにします。
Vulnyは脆弱性をどのようにCVEと照合しますか?
Vulnyは、稼働中のソフトウェアとバージョンを把握すると、それらを357,755+件の脆弱性テストを収録した検出データベースと照合します。各一致は、CVSSの深刻度、実環境での悪用が知られている脆弱性のCISA KEVリストに掲載されているかどうか、EPSSによる悪用確率、公開されている悪用コードの有無で補強されます。この文脈こそが、長いリストを短いリストに変えるものです。1000件の理論上の問題ではなく、あなたにとって本当に危険な少数の問題が、最初に順位付けされて得られます。データベースは2時間ごとに更新されるため、公開されたその日のうちに真新しいCVEに対して再チェックされます。照合にはVulnyがフィンガープリントした正確なバージョンを使用するため、バージョンに関係なくおおよそ該当する製品を稼働するすべてのホストにCVEのフラグを立てる汎用スキャナーにつきものの誤検知を回避します。
SEO監査はどのように機能しますか?
同じパスで、Vulnyはページがどれだけ準備できているかをチェックします。検索エンジンと同じようにそれぞれのページを読み込み、可視性を決定するシグナル(ページがどれだけクロール可能で高速か、Googleに対して内容をどれだけ明確に伝えているか)をレビューします。あなたを妨げている具体的な問題と、それぞれの平易な言葉での修正を伴う単一のSEOスコアが得られるため、SEO代理店を雇わずにランキングを上げられます。要点はシンプルです。世界で最も安全なウェブサイトでも、顧客がGoogleで見つけられなければ失敗します。だからこそ、セキュリティと発見されやすさは、2つのツールではなく1回のスキャンに属するのです。
AI-search(GEO)監査はどのように機能しますか?
購入者は、結果ページをスクロールする代わりに、ChatGPT、Perplexity、GoogleのAIに推奨をたずねることがますます増えています。そしてこれらのエンジンは、読んで信頼できるページしか引用しません。VulnyのGEO(Generative Engine Optimisation)監査は、あなたのサイトがAIアシスタントにとって可視で引用可能かどうかをチェックし、引用される可能性を採点し、何を改善すべきかを伝えます。これはオンラインで見つけられるための最新の最前線であり、競合の多くはまだ注視していません。だからこそ、今修正することが有利になるのです。セキュリティ・SEO・AI-search、1回のスキャン、1つのレポートです。
典型的なスキャンでは何が見つかりますか?
小規模ビジネスのウェブサイトの最初のスキャンでは、いくつかの実際の問題が浮かび上がることがよくあります。既知のCVEを持つ古いウェブサーバー、いくつかの欠落したセキュリティヘッダー、露出したバックアップや.gitフォルダー、そしてまだ古いプロトコルを許可しているTLS構成などです。各所見には、その深刻度、影響を受けるホストとポート、平易な言葉での修正が付いてきます。評価全体を、ブランド入りのPDFまたは編集可能なDOCレポートとしてエクスポートできます。監査人、クライアント、あるいは自社のエンジニアが取り組む準備が整っています。重要なのは、所見が区別のないリストとして放り出されるのではなく、実世界のリスクに基づいて順位付けされることです。これにより、100件の優先度の低いメモではなく、攻撃者が実際に利用する1つか2つの問題に時間を費やせます。
スキャンは安全で支障がありませんか?
Vulnyは非破壊的になるよう作られています。弱点を悪用したり、データを削除したり、サービスを停止させたりすることなく、特定し検証します。スキャンはレート対応のためサーバーに過負荷をかけず、所有しているか、テストする権限のあるアセットのみをスキャンできます。Vulnyは新しいターゲットの最初のスキャンの前にドメイン所有権を検証します。これにより、スケジュールされたメンテナンスウィンドウ中だけでなく、バックグラウンドで継続的に実行しても安全になります。攻撃者が試みるのと同じ深さのテストが得られますが、実際の侵入(あるいは無謀なスキャナー)が伴う可用性やデータ整合性へのリスクはありません。これこそが、年に一度のイベントではなく、常時オンのスキャンを実用的にするものです。