商社のお客さまへ
お見積もり
お問い合わせ
テガラのサービス一覧
お見積もり
お問い合わせ
商社のお客さまへ

テガラは研究開発者向けの各種サービスを提供しております。お客様の目的、ご要望に応じた最適なサービスをお選びください。

Burp Suite Professional と Enterprise Edition 併用のおすすめ

2024.08.09
ユニポス ピックアップ製品のご紹介
Burp Suite 併用のおすすめ

【製品名変更のお知らせ】

本記事内で紹介している「Burp Suite Enterprise Edition」は、現在「Burp Suite DAST」に名称変更されています。
内容は同一製品を指していますので、読み替えてご参照ください。

 

ユニポスの人気製品、Webアプリケーションの脆弱性テストツール「Burp Suite Professional」は、「Burp Suite Enterprise Edition」と組み合わせてご利用いただく事で、より包括的 且つ 強固なセキュリティテストが実現されるように設計されています。

 

なぜ「併用」が有効なのか?

Burp Suite においては、各製品はそれぞれに対する上位版 (上位の製品ほど使用可能な機能が網羅されている) といった位置づけではなく、製品によってその特徴や用途が明確に分けられています。

具体的には、Burp Suite Professional は 手動で 侵入テスト (ペネトレーションテスト) を実施するためのツールです。一方、 Burp Suite Enterprise は 自動のセキュリティスキャンにより脆弱性を特定するツールです。

このように、製品によって脆弱性テストの手法や目的が異なるため、2製品を併用し適材適所で使い分けることで、より効果的にセキュリティテストを実施することができます。

なお、メーカー調査によると BurpSuite Enterprise をご利用になるユーザーの「約 70%」が BurpSuite Professional を併用されているとのことです。

 

Burp Suite graph

“Just under 70% of our Burp Suite Enterprise customer base are also using Burp Suite Professional.”

 

Professional / Enterprise 2製品の違い

Burp Suite Professional

Burp Suite Professional Edition

侵入テスト機能を保証するための Burp Scanner と手動テスト ツールを含む「手動」侵入テスト ツールキット

主な用途

  • 個別セキュリティテストの実施

 

Burp Suite Enterprise Edition

Burp Suite Enterprise Edition (DAST)

Professional エディションと同じ Burp Scanner を使用した、「自動」Web 脆弱性ツール

主な用途

  • 定期的自動スキャンでスキャン範囲を拡張
  • CI/CD パイプラインからスキャンをトリガー
  • 複数のチームのための集中ダッシュボードの構築

※より詳細な 2製品の違いは以下の記事をご参照ください

Burp Suite 機能比較紹介

 

Professional / Enterprise 併用が有効なパターン

メーカーでは、特に以下の環境のユーザーさまの場合、Professional Enterprise Edition の併用が効果的であるとしています。

  • 対象となるアプリケーションが複数である(目安5個以上)
  • 組織にアプリケーションセキュリティチームを置いている
  • ペネトレーションテストを実施している
  • パイプラインセキュリティを行っている

 

さらに、以下の条件下でご利用の場合、一層有効であるとされています。

  • 高度なアプリケーションセキュリティを実施している
  • 製品を自社で開発中、または、開発を請け負っている

 

ユーザーさまの声の一例

  • ユーザー:シニアセキュリティエンジニア
  • 企業規模:FTSE 500 企業
  • 利用製品:Burp Suite Professional / Burp Suite Enterprise Edition
  • 目的:資産保護

 

導入にいたった経緯は?

Burp Suite Professional を使用してWeb侵入テストを行っていましたが、スキャンを自動化したり CI/CD パイプラインと統合することができなかったため、Burp Suite Enterprise を追加で導入。

どの様に2つの製品を利用していますか?

Burp Suite Enterprise を使用して定期的にスキャンを自動化し、容易に発見できる問題を解決しています。これにより、ペネトレーションテストチームは Burp Suite Professional を使用して、より高度な調査や攻撃に集中することができるようになりました。

導入以前、ペネトレーションテストチームは Burp Suite Professional を使用して、全ての高度なテストをマニュアルで実施していました。現在は、Burp Suite Enterprise を使用して、DevOps や TestOps において独自の自動セキュリティスキャンを実行し、脆弱性を特定しています。

Burp Suite Enterprise の導入により、開発チームは Jenkins パイプラインからスキャンをトリガーし、脆弱性を早期に特定して修復することが可能になりました。これにより、リリースの遅延を回避することができるようになりました。

 

まずはデモ版にてお試しください

Burp Suite 各製品は、デモ版が用意されております。メーカーWEBサイトよりデモ版のリクエストが可能ですので、是非 お試しください (デモ版は Bup Suite の全ての機能をお試しいただけます)。

Request Free Trial – Burp Suite Enterprise Edition – PortSwigger
https://portswigger.net/burp/dast/trial

Request Free Trial – Burp Suite Professional – PortSwigger
https://portswigger.net/burp/pro/trial

ユニポスは Burp Suiteの認定リセラー として、日本全国の企業・研究開発者様に製品を提供しています。購入や製品選定に関する質問があれば、お気軽にお問い合わせください。メーカーと連携し、最適な製品をご提案します。

商品の詳細、お問い合わせはこちら

Burp Suite | PortSwigger ウェブアプリケーション 脆弱性検出 ペネトレーション

この記事を読んだ方はこんな記事も読んでいます

最新バージョン リリース情報 2024.10.11
Hex-rays IDA 9.0リリース:サブスクリプションへ切替え
Burp Suite 機能比較紹介
ユニポス ピックアップ製品のご紹介 2024.08.09
Burp Suite 機能比較紹介 (Enterprise Edition vs. Professional)
ユニポス ピックアップ製品のご紹介 2024.01.23
【特集記事】開発用途で人気のソフトウェア製品のご紹介