BRIDGE

タグ Bitforest

継続的なWebセキュリティテストを実現する「VAddy」が9月に有料版、チーム間でも利用可能に

SHARE:

今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy(バディ)」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。 同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベー…

VAddy-website
CIツールと連携し、継続的なセキュリティテストを実現する「VAddy」

今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy(バディ)」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。

同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベータ版、今年4月には英語版をリリース。CIツールと連携し、開発初期段階から継続的なWebセキュリティテストを実現してくれる利便性が買われ、今では国内外に500人を超えるWebアプリケーション開発者に利用されています。

無料版に加えて、月額100ドルの「Standard」と300ドル の「Professional」の2つの有料版を追加。プランによって、スキャン速度やスキャン上限時間、またスキャン履歴の対象期間などが異なります。検査項目についても、これまでのSQLインジェクションとXSSに、RFI、コマンドインジェクション、ディレクトリトラバーサルも対象に。

また、有料版ではチーム機能を追加。複数の開発者によるチーム間での利用も可能になるため、大規模なWebアプリケーションへのセキュリティテストも実行できるようになるとのこと。

VAddyでは有料版の提供開始にともなって、「Try! VAddyキャンペーン」を実施。VAddyのスキャンを実行し、2015年8月1日に開始するアンケートに全て回答したユーザーは、2015年11月30日までの期間、通常月額100ドルのStandardプランを無料で利用できます。無料期間終了後は、別途の申し込みがない限りFreeプランにダウングレードされるため、自動的に課金されることはありません。

定期開催のミートアップを通して、ユーザーのフィードバックや要望を聞きながら改善されるVAddy。チーム間でも使える有料版の登場で、大規模Webアプリケーションへの導入が加速され、「継続的なセキュリティテストの文化」を作るというビジョンが形になりつつあります。

VAddyの詳細については、今年2月の取材記事また以下の資料をご覧ください。

----------[AD]----------

約800サイトが導入する「Scutum」のビットフォレストが、3ステップで継続的セキュリティテストができる「VAddy」をリリース

SHARE:

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。 たった3ステップで実現する継続的セキ…

VAddy

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。

たった3ステップで実現する継続的セキュリティテスト

VAddyは、Webアプリケーション開発の初期段階からリリース後まで、全てのフェーズで継続的なセキュリティテストの実施を可能にしてくれるクラウド型サービスです。昨今、開発イテレーションのスピードは増す一方ですが、従来型の脆弱性診断サービスの適用は難しく、中にはセキュリティテストが後回しにされてしまうことも。

たったの3ステップで導入し、必要なセキュリティテストを開発チームが簡単に実施できるのがVAddyです。Jenkins、CircleCI、TravisCIなどのCI(Continuous Integration)ツールを利用している場合、通常のバグや仕様検証のテストなどと同様にセキュリティテストを自動的に実行することができます。

導入手順はというと、まず、スキャン(セキュリティテスト)対象サーバーを登録し、次にスキャン対象アプリケーションをクロールします。具体的には、画面操作でアプリケーションの動作をVAddyに登録。最後にスキャンボタンを押せば完了です。

「VAddyを利用するにあたって、セキュリティスキャンの専門知識が必要な設定項目はありません。実際にコードを書くことがないPMやディレクターの方でも簡単に利用することができるのが特徴です」(市川)

約800サイトが導入するScutumの開発・提供で培ったノウハウ

VAddyの開発に至った経緯は、「何よりも開発者の立場として自分で欲しいと思ったこと」がきっかけだったと話す佐藤さん。Webアプリケーション開発におけるユニットテストや受け入れテストを実施することはあっても、セキュリティテストまで行われるケースは少なく、セキュリティが個々の開発者のスキルによって担保されているのが現状だと言います。

「大人数のプロジェクトやメンバーの入れ替わりの激しい現場では、全てのコードのセキュリティチェックを行うことが困難です。いくらセキュリティに関するスキルや意識が高い開発者でも、ケアレスミスは発生してしまいます。様々な開発現場を見て来た経験から、セキュリティの知識がなくても簡単かつ何度でも実施できるセキュリティテストツールの必要性を感じました」(市川)

ビットフォレストでは、既に約800サイトに導入される「Scutum(スキュータム)」というクラウド型WAFサービスを運用しています。毎日、数億以上のHTTPリクエストをリアルタイムに監視し、攻撃を未然に防いでいます。発見した攻撃はその後すべてデータベース化されるため、サイバースペースで実際に狙われているのはどこか?といったナレッジがVAddyの開発にも活かされています。

「当社の強みは、情報セキュリティと人工知能の技術、またその2つを組み合わせて提供している点です。これによって、従来よりも安く、しかも高性能なサービスが実現しています。また、人工知能を使う上では、情報セキュリティのプロフェッショナルの技術を、そのまま全てソフトウェア化することを最終目標に掲げています」(佐藤)

今年夏を目処に有料版を提供予定

現時点では、さまざまな脆弱性のうち、頻繁に攻撃の対象となるSQLインジェクションと クロスサイトスクリプティングの検査を実施。また、JenkinsプラグインやRubyでVAddy APIを操作するツール、WebAPIの仕様書を提供することで、各種CIツールとの連携、さらには独自のクライアントツールを作りプロジェクトに組み込むことも可能です。

今後、リリースするVAddyの有料版では、その他の脆弱性への対応、規模が大きめのアプリケーション向けの長時間のセキュリティスキャン、過去のスキャン結果の履歴やレポーティング機能、複数ユーザー(チーム)で共同管理できるようにするための機能の提供などを予定しています。有料版は、今年3月にリリース予定の英語版の反響を見ながら、今年の夏頃を目処に開始する予定です。

「VAddyの導入対象は、Webアプリケーションを開発する全ての企業です。中でも、脆弱性診断の予算とセキュリティ人材の確保が難しい企業や、リリースサイクルが早いスタートアップなどに最適です。今後、Webアプリケーション開発の世界で継続的セキュリティテストの文化が普及し、セキュリティ事故が1件でも多く減らせる世界を作る事が私たちの使命だと考えています」(西野)

サービス名称の由来は、「Vulnerability Assessment is your Buddy」(脆弱性診断はあなたの相棒)を省略した造語。VAddyが開発者の相棒となってセキュリティ面をサポートしたいという思いでつけられました。セキュリティへの不安を抱えながら開発をしている人にとって、本業の開発に力を注ぐことを可能にしてくれる心強い味方ではないでしょうか。

さらに詳細を知りたい方は、「継続的セキュリティテストVAddy」の資料をご覧ください。

----------[AD]----------