SRE（サイト信頼性エンジニアリング）とセキュリティ事業を展開するスリーシェイクは1日、手軽に社内でセキュリティ診断を実施できる自動脆弱性診断ツール「Securify（セキュリファイ）」をβローンチした。無料で利用することができる。同社ではこれまでにも、セキュリティエンジニアによる脆弱性診断サービス、ヨーロッパのバグバウンティプラットフォーム「intigriti」と提携したバグバウンティ運用代行サービス「Bugty」などを提供してきた。

アプリ開発においてアジャイルな手法が多くを占める中、バージョン更新の都度、アプリケーションに脆弱性が無いかどうかを調べるのは煩雑な作業だ。また、アプリ開発エンジニアに比べ、セキュリティエンジニアの人数は少なく圧倒的に不足しているため、アプリ開発の現場において十分な脆弱性を確認することができない場合もある。Securify の導入によって、DevSecOps（開発、セキュリティー、運用）の PDCA サイクルが回しやすくすることが期待できる。

Securify が対象とするアプリは言語や環境を問わないが、基本的に外部との通信によるデータのやり取りから脆弱性を判断するため、http などで始まるデータのエンドポイントを指定することで、脆弱性の有無やそれに対する対応指針などが示される。特に Web アプリやモバイルアプリとの親和性は高いと言えるだろう。脆弱性は以下の16項目について確認可能だ。

• SQL インジェクション
• クロスサイト・スクリプティング（XSS）
• サーバーサイド・テンプレート・インジェクション
• OS コマンドインジェクション
• クロスサイトリクエストフォージェリ（CSRF）
• CRLF インジェクション
• パストラバーサル
• クリックジャッキング
• CORS の設定不備
• Host ヘッダインジェクション
• 混在コンテンツ
• プライベートIPの公開
• 相対パスインポート
• S3 の権限不備
• 脆弱なJavaScriptライブラリの使用
• オープンリダイレクト

スリーシェイクは2015年1月の創業。今年1月には、シリーズ A ラウンドでジャフコ グループ（東証：8595）から5億円を調達している。創業以来、SRE コンサルティング事業「Sreake（スリーク）」を大手企業を中心に提供するほか、2020年4月にクラウドネイティブなデータ連携プラットフォーム「Reckoner（レコナー）」、2020年12月にはフリーランスエンジニア特化型人材紹介サービス「Relance（リランス）」をローンチしている。Securify は無料だが、今後、同社では SaaS の開発や提供にも注力する模様だ。