約800サイトが導入する「Scutum」のビットフォレストが、3ステップで継続的セキュリティテストができる「VAddy」をリリース

by Yukari Mitsuhashi Yukari Mitsuhashi on 2015.2.4

VAddy

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。

たった3ステップで実現する継続的セキュリティテスト

VAddyは、Webアプリケーション開発の初期段階からリリース後まで、全てのフェーズで継続的なセキュリティテストの実施を可能にしてくれるクラウド型サービスです。昨今、開発イテレーションのスピードは増す一方ですが、従来型の脆弱性診断サービスの適用は難しく、中にはセキュリティテストが後回しにされてしまうことも。

たったの3ステップで導入し、必要なセキュリティテストを開発チームが簡単に実施できるのがVAddyです。Jenkins、CircleCI、TravisCIなどのCI(Continuous Integration)ツールを利用している場合、通常のバグや仕様検証のテストなどと同様にセキュリティテストを自動的に実行することができます。

導入手順はというと、まず、スキャン(セキュリティテスト)対象サーバーを登録し、次にスキャン対象アプリケーションをクロールします。具体的には、画面操作でアプリケーションの動作をVAddyに登録。最後にスキャンボタンを押せば完了です。

「VAddyを利用するにあたって、セキュリティスキャンの専門知識が必要な設定項目はありません。実際にコードを書くことがないPMやディレクターの方でも簡単に利用することができるのが特徴です」(市川)

約800サイトが導入するScutumの開発・提供で培ったノウハウ

VAddyの開発に至った経緯は、「何よりも開発者の立場として自分で欲しいと思ったこと」がきっかけだったと話す佐藤さん。Webアプリケーション開発におけるユニットテストや受け入れテストを実施することはあっても、セキュリティテストまで行われるケースは少なく、セキュリティが個々の開発者のスキルによって担保されているのが現状だと言います。

「大人数のプロジェクトやメンバーの入れ替わりの激しい現場では、全てのコードのセキュリティチェックを行うことが困難です。いくらセキュリティに関するスキルや意識が高い開発者でも、ケアレスミスは発生してしまいます。様々な開発現場を見て来た経験から、セキュリティの知識がなくても簡単かつ何度でも実施できるセキュリティテストツールの必要性を感じました」(市川)

ビットフォレストでは、既に約800サイトに導入される「Scutum(スキュータム)」というクラウド型WAFサービスを運用しています。毎日、数億以上のHTTPリクエストをリアルタイムに監視し、攻撃を未然に防いでいます。発見した攻撃はその後すべてデータベース化されるため、サイバースペースで実際に狙われているのはどこか?といったナレッジがVAddyの開発にも活かされています。

「当社の強みは、情報セキュリティと人工知能の技術、またその2つを組み合わせて提供している点です。これによって、従来よりも安く、しかも高性能なサービスが実現しています。また、人工知能を使う上では、情報セキュリティのプロフェッショナルの技術を、そのまま全てソフトウェア化することを最終目標に掲げています」(佐藤)

今年夏を目処に有料版を提供予定

現時点では、さまざまな脆弱性のうち、頻繁に攻撃の対象となるSQLインジェクションと クロスサイトスクリプティングの検査を実施。また、JenkinsプラグインやRubyでVAddy APIを操作するツール、WebAPIの仕様書を提供することで、各種CIツールとの連携、さらには独自のクライアントツールを作りプロジェクトに組み込むことも可能です。

今後、リリースするVAddyの有料版では、その他の脆弱性への対応、規模が大きめのアプリケーション向けの長時間のセキュリティスキャン、過去のスキャン結果の履歴やレポーティング機能、複数ユーザー(チーム)で共同管理できるようにするための機能の提供などを予定しています。有料版は、今年3月にリリース予定の英語版の反響を見ながら、今年の夏頃を目処に開始する予定です。

「VAddyの導入対象は、Webアプリケーションを開発する全ての企業です。中でも、脆弱性診断の予算とセキュリティ人材の確保が難しい企業や、リリースサイクルが早いスタートアップなどに最適です。今後、Webアプリケーション開発の世界で継続的セキュリティテストの文化が普及し、セキュリティ事故が1件でも多く減らせる世界を作る事が私たちの使命だと考えています」(西野)

サービス名称の由来は、「Vulnerability Assessment is your Buddy」(脆弱性診断はあなたの相棒)を省略した造語。VAddyが開発者の相棒となってセキュリティ面をサポートしたいという思いでつけられました。セキュリティへの不安を抱えながら開発をしている人にとって、本業の開発に力を注ぐことを可能にしてくれる心強い味方ではないでしょうか。

さらに詳細を知りたい方は、「継続的セキュリティテストVAddy」の資料をご覧ください。

継続的セキュリティテストVaddy説明資料 from ichikaway

ニュースレターの購読について

毎日掲載される記事の更新情報やイベントに関する情報をお届けします!

----------[AD]----------