Burp Suite Professional と Enterprise Edition 併用のおすすめ

2024年8月9日 テガラ株式会社 アプリケーション開発・プログラミング, ネットワーク・セキュリティ, 業務支援・効率化ツール, 海外製品 新着情報 (ユニポス)

ユニポスの人気製品、Webアプリケーションの脆弱性テストツール Burp Suite Professional は、Burp Suite Enterprise Edition と組み合わせてご利用いただく事で、より包括的 且つ 強固なセキュリティテストが実現されるように設計されています。

なぜ「併用」が有効なのか? - 2製品の違い –

Burp Suite においては、各製品はそれぞれに対する上位版 (: 上位の製品ほど使用可能な機能が網羅されている)といった位置づけではなく、製品によってその特徴や用途が明確に分けられています。

具体的には、Burp Suite Professional は 手動で 侵入テスト (ペネトレーションテスト) を実施するためのツールです。一方、 Burp Suite Enterprise Edition は 自動のセキュリティスキャンにより脆弱性を特定するツールです。

このように、製品によって脆弱性テストの手法や目的が異なるため、2製品を併用し適材適所で使い分けることで、より効果的にセキュリティテストを実施することができます。

なおメーカー調査によると BurpSuite Enterprise をご利用になるユーザーの「約 70%」が BurpSuite Professional を併用されているとのことです。

Just under 70% of our Burp Suite Enterprise customer base are also using Burp Suite Professional.

Burp Suite Professional

Burp Suite Professional Edition

侵入テスト機能を保証するための Burp Scanner と手動テスト ツールを含む「手動」侵入テスト ツールキット

<主な用途>

  • 個別セキュリティテストの実施

 

Burp Suite Enterprise Edition

Burp Suite Enterprise Edition

Professional エディションと同じBurp Scannerを使用した、「自動」Web 脆弱性ツール

<主な用途>

  • 定期的自動スキャンでスキャン範囲を拡張
  • CI/CD パイプラインからスキャンをトリガー
  • 複数のチームのための集中ダッシュボードの構築

※より詳細な 2製品の違いは以下の記事をご参照ください

TEGAKARI
2024.08.09
Burp Suite 機能比較紹介 (Enterprise Edition vs. Professional)
https://www.tegakari.net/2024/08/burp_suite_compare
大規模なウェブ資産のスキャンでセキュリティ状況を把握したい? それとも細かいテストプロセスを効率化? あるいは両方?ユニポスでは、Webアプリケーション...

 

 

Burp Suite Professional の、Enterprise Edition との併用が有効的であるパターン

メーカーでは、特に以下の環境のユーザーさまの場合、Professional と Enterprise Edition の併用が効果的であるとしています。

  • 対象となるアプリケーションが複数である(目安5個以上)
  • 組織にアプリケーションセキュリティチームを置いている
  • ペネトレーションテストを実施している
  • パイプラインセキュリティを行っている

 

さらに、以下の条件下でご利用の場合、一層有効であるとされています。

  • 高度なアプリケーションセキュリティを実施している
  • 製品を自社で開発中、または、開発を請け負っている

 

ユーザーさまの声の一例

  • ユーザー:シニアセキュリティエンジニア
  • 企業規模:FTSE 500企業
  • 利用製品:Burp Suite Professional / Burp Suite Enterprise Edition
  • 目的:資産保護

 

導入にいたった経緯は?

Burp Suite Professionalを使用してWeb侵入テストを行っていましたが、スキャンを自動化したりCI/CDパイプラインと統合することができなかったため、Burp Suite Enterprise Editionを追加で導入。

どの様に2つの製品を利用していますか?

Burp Suite Enterprise Editionを使用して定期的にスキャンを自動化し、容易に発見できる問題を解決しています。これにより、ペネトレーションテストチームはBurp Suite Professionalを使用して、より高度な調査や攻撃に集中することができるようになりました。

導入以前、ペネトレーションテストチームはBurp Suite Professionalを使用して、全ての高度なテストをマニュアルで実施していました。現在は、Burp Suite Enterprise Editionを使用して、DevOpsやTestOpsにおいて独自の自動セキュリティスキャンを実行し、脆弱性を特定しています。

Burp Suite Enterprise Editionの導入により、開発チームはJenkinsパイプラインからスキャンをトリガーし、脆弱性を早期に特定して修復することが可能になりました。これにより、リリースの遅延を回避することができるようになりました。

 

まずはデモ版にてお試しください

Burp Suite 各製品は、デモ版が用意されております。メーカーWEBサイトよりデモ版のリクエストが可能ですので、是非 お試しください (デモ版は Bup Suite の全ての機能をお試しいただけます)。

Request Free Trial – Burp Suite Enterprise Edition – PortSwigger
https://portswigger.net/burp/enterprise/trial

Request Free Trial – Burp Suite Professional – PortSwigger
https://portswigger.net/burp/pro/trial

ユニポスはBurp Suiteの認定リセラーとして、日本全国の企業・研究開発者様に製品を提供しています。購入や製品選定に関する質問があれば、お気軽にお問い合わせください。メーカーと連携し、最適な製品をご提案します。

この記事を読んだ方はこんな記事も読んでいます