THE BRIDGE

タグ VAddy

クラウド型Web脆弱性検査ツール「VAddy」がチーム機能や検査項目を追加した2つの有料プランを開始

SHARE:

CIツールと連携することで、開発初期段階から継続的なWebセキュリティテストを実現してくれる「VAddy(バディ)」。2014年10月に日本語ベータ版がリリースされて以来、500人を超えるWebアプリケーション開発者によって利用されています。本日、今年7月に発表があった有料版がリリースされました。 無料でも利用できるVAddyですが、新たに追加されたのは、月額料金100ドルのStandardプラン…

VAddy-website

CIツールと連携することで、開発初期段階から継続的なWebセキュリティテストを実現してくれる「VAddy(バディ)」。2014年10月に日本語ベータ版がリリースされて以来、500人を超えるWebアプリケーション開発者によって利用されています。本日、今年7月に発表があった有料版がリリースされました。

無料でも利用できるVAddyですが、新たに追加されたのは、月額料金100ドルのStandardプランと月額300ドルのProfessionalプラン。これまでのSQLインジェクションやクロスサイト スクリプティングに加えて、リモートファイル インクルージョン、コマンド インジェクション、ディレクトリ トラバーサル検査の3つを診断項目に。またStandardプランでは5ユーザー、Professionalプランでは最大50ユーザーで使えるチーム機能も搭載しています。

セキュリティという特殊な分野で展開するVAddyでは、無料サービスであることが必ずしもプラスに働かなかったのだと言います。ユーザーインタビューでは、「無料のセキュリティサービスは会社の規定で使えない」「安過ぎるセキュリティサービスは信用できない」といった声が聞かれたのです。

でも、今回の有料版の登場で、大規模なWebアプリケーションへのセキュリティテストも可能になったVAddy。今後、大小規模な企業による導入の加速が期待されます。

----------[AD]----------

継続的なWebセキュリティテストを実現する「VAddy」が9月に有料版、チーム間でも利用可能に

SHARE:

今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy(バディ)」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。 同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベー…

VAddy-website
CIツールと連携し、継続的なセキュリティテストを実現する「VAddy」

今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy(バディ)」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。

同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベータ版、今年4月には英語版をリリース。CIツールと連携し、開発初期段階から継続的なWebセキュリティテストを実現してくれる利便性が買われ、今では国内外に500人を超えるWebアプリケーション開発者に利用されています。

無料版に加えて、月額100ドルの「Standard」と300ドル の「Professional」の2つの有料版を追加。プランによって、スキャン速度やスキャン上限時間、またスキャン履歴の対象期間などが異なります。検査項目についても、これまでのSQLインジェクションとXSSに、RFI、コマンドインジェクション、ディレクトリトラバーサルも対象に。

また、有料版ではチーム機能を追加。複数の開発者によるチーム間での利用も可能になるため、大規模なWebアプリケーションへのセキュリティテストも実行できるようになるとのこと。

VAddyでは有料版の提供開始にともなって、「Try! VAddyキャンペーン」を実施。VAddyのスキャンを実行し、2015年8月1日に開始するアンケートに全て回答したユーザーは、2015年11月30日までの期間、通常月額100ドルのStandardプランを無料で利用できます。無料期間終了後は、別途の申し込みがない限りFreeプランにダウングレードされるため、自動的に課金されることはありません。

定期開催のミートアップを通して、ユーザーのフィードバックや要望を聞きながら改善されるVAddy。チーム間でも使える有料版の登場で、大規模Webアプリケーションへの導入が加速され、「継続的なセキュリティテストの文化」を作るというビジョンが形になりつつあります。

VAddyの詳細については、今年2月の取材記事また以下の資料をご覧ください。

----------[AD]----------

継続的Webセキュリティテストを実現する「VAddy」が全世界版をリリース

SHARE:

2月半ばに英語版のティザーサイトを開設した、継続的Webセキュリティテストを実現する「VAddy(バディ)」が、全世界版を正式リリースしました。 VAddyは、CIツール(Continuous Integration)と連携し、開発の初期段階から継続的なWebセキュリティテストを実現してくれるクラウド型サービスです。先行して2014年10月にリリースした日本語版VAddyの後を次ぎ、今回リリースさ…

VAddy-website-English
VAddyのグローバルサイト

2月半ばに英語版のティザーサイトを開設した、継続的Webセキュリティテストを実現する「VAddy(バディ)」が、全世界版を正式リリースしました。

VAddyは、CIツール(Continuous Integration)と連携し、開発の初期段階から継続的なWebセキュリティテストを実現してくれるクラウド型サービスです。先行して2014年10月にリリースした日本語版VAddyの後を次ぎ、今回リリースされたのは全世界向けの無料版。これで、世界中のWebアプリケーション開発者がVAddyを導入できるようになります。

北米を中心に、海外のWebアプリケーション開発現場において用いられるCIを用いたアジャイルソフトウェア開発は普及する一方で、様々なテストが自動化されています。ところが、CIサイクルの中でセキュリティテストを自動化する有効なツールは皆無で、しかるべきセキュリティテストが実地されていない現状が。VAddyがそれを実現し、より安全なアプリケーションのスピーディなリリースに貢献していくと言います。

「全世界のWebアプリケーション開発者にとっての“使っていて当たり前”なセキュリティサービスになる」ことを目指すVAddy。今回の全世界向けの無料版サービスの開始にあたって、同社のビジョンを伝える内容の英語でのブログ発信も開始しました。もちろん日本語での発信も。

先日、VAddyのプロジェクトリーダーの市川快さんが、「技術系スタートアップはスタンスを明確に。エッジを研げ、その刃は本物か?」と題された興味深い記事を投稿していました。VAddyが目指す価値提供を、「やらないこと」を明言することで伝える趣旨のもの。「こうします」とやることを宣言より、むしろサービスのビジョンをわかりやすく伝えているかもしれません。

VAddyは今回リリースした無料版に加えて、今年夏頃を目処に有料版の提供も予定しています。

----------[AD]----------

CIツールと連携した継続的セキュリティテストを実現する「VAddy」が全世界版のリリースに向けて始動

SHARE:

継続的Webセキュリティテストサービス「VAddy」(バディ)が、グローバル版のサービス提供に先駆けて英語版のティザーサイトをオープンしました。 VAddyはCIツールと連携して、開発の初期段階から継続的なセキュリティテストを実現するクラウド型サービス。2014年10月のリリースした日本語版は、毎月約50%増のペースでユーザーを獲得し、既に じげん など複数企業の実業務で活用されています。 昨今、…

VAddy-English-website
VAddyの英語版ティザーサイト

継続的Webセキュリティテストサービス「VAddy」(バディ)が、グローバル版のサービス提供に先駆けて英語版のティザーサイトをオープンしました。

VAddyはCIツールと連携して、開発の初期段階から継続的なセキュリティテストを実現するクラウド型サービス。2014年10月のリリースした日本語版は、毎月約50%増のペースでユーザーを獲得し、既に じげん など複数企業の実業務で活用されています。

昨今、CI(Continuous Integration)の開発手法をとる企業は増加傾向にあり、例えば、CIツールの「Jenkins」のインストール数は、全世界で10万超。VAddyは、今後ますます伸びて行くであろう「Jenkins」「TravisCI」「CircleCI」といったCIツールと連携することで、Webアプリケーション エンジニアに最適なセキュリティツールを提供します。

CIと連携したセキュリティテストの自動化ツールは、ちょっとしたトレンドなんだとか。例えば、Googleもその実現に向けて動いているというニュースも。いち早くリリースしたVAddyは、今年3月には全世界向け無料版サービスをリリースし、今夏には 有料版サービスのリリースを予定しています。

VAddyを全世界で普及させることで、全世界のWebアプリケーション開発現場に「継続的なセキュリティテストの文化」 を根付かせることができるのか。日本発、グローバルに受け入れられるサービスがセキュリティ分野で誕生するかもしれません。

 

----------[AD]----------

約800サイトが導入する「Scutum」のビットフォレストが、3ステップで継続的セキュリティテストができる「VAddy」をリリース

SHARE:

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。 たった3ステップで実現する継続的セキ…

VAddy

セキュリティの専門知識がなくても使えるセキュリティサービスが、昨年2014年10月にリリースされた「VAddy(バディ)」です。既に、じげん など複数の企業が導入していて、今年3月を目処にグローバル版のリリースも予定しています。Bitforest(ビットフォレスト)でVAddyを開発する市川快さん、佐藤匡さん、広報を担当している西野勝也さんにお話を伺いました。

たった3ステップで実現する継続的セキュリティテスト

VAddyは、Webアプリケーション開発の初期段階からリリース後まで、全てのフェーズで継続的なセキュリティテストの実施を可能にしてくれるクラウド型サービスです。昨今、開発イテレーションのスピードは増す一方ですが、従来型の脆弱性診断サービスの適用は難しく、中にはセキュリティテストが後回しにされてしまうことも。

たったの3ステップで導入し、必要なセキュリティテストを開発チームが簡単に実施できるのがVAddyです。Jenkins、CircleCI、TravisCIなどのCI(Continuous Integration)ツールを利用している場合、通常のバグや仕様検証のテストなどと同様にセキュリティテストを自動的に実行することができます。

導入手順はというと、まず、スキャン(セキュリティテスト)対象サーバーを登録し、次にスキャン対象アプリケーションをクロールします。具体的には、画面操作でアプリケーションの動作をVAddyに登録。最後にスキャンボタンを押せば完了です。

「VAddyを利用するにあたって、セキュリティスキャンの専門知識が必要な設定項目はありません。実際にコードを書くことがないPMやディレクターの方でも簡単に利用することができるのが特徴です」(市川)

約800サイトが導入するScutumの開発・提供で培ったノウハウ

VAddyの開発に至った経緯は、「何よりも開発者の立場として自分で欲しいと思ったこと」がきっかけだったと話す佐藤さん。Webアプリケーション開発におけるユニットテストや受け入れテストを実施することはあっても、セキュリティテストまで行われるケースは少なく、セキュリティが個々の開発者のスキルによって担保されているのが現状だと言います。

「大人数のプロジェクトやメンバーの入れ替わりの激しい現場では、全てのコードのセキュリティチェックを行うことが困難です。いくらセキュリティに関するスキルや意識が高い開発者でも、ケアレスミスは発生してしまいます。様々な開発現場を見て来た経験から、セキュリティの知識がなくても簡単かつ何度でも実施できるセキュリティテストツールの必要性を感じました」(市川)

ビットフォレストでは、既に約800サイトに導入される「Scutum(スキュータム)」というクラウド型WAFサービスを運用しています。毎日、数億以上のHTTPリクエストをリアルタイムに監視し、攻撃を未然に防いでいます。発見した攻撃はその後すべてデータベース化されるため、サイバースペースで実際に狙われているのはどこか?といったナレッジがVAddyの開発にも活かされています。

「当社の強みは、情報セキュリティと人工知能の技術、またその2つを組み合わせて提供している点です。これによって、従来よりも安く、しかも高性能なサービスが実現しています。また、人工知能を使う上では、情報セキュリティのプロフェッショナルの技術を、そのまま全てソフトウェア化することを最終目標に掲げています」(佐藤)

今年夏を目処に有料版を提供予定

現時点では、さまざまな脆弱性のうち、頻繁に攻撃の対象となるSQLインジェクションと クロスサイトスクリプティングの検査を実施。また、JenkinsプラグインやRubyでVAddy APIを操作するツール、WebAPIの仕様書を提供することで、各種CIツールとの連携、さらには独自のクライアントツールを作りプロジェクトに組み込むことも可能です。

今後、リリースするVAddyの有料版では、その他の脆弱性への対応、規模が大きめのアプリケーション向けの長時間のセキュリティスキャン、過去のスキャン結果の履歴やレポーティング機能、複数ユーザー(チーム)で共同管理できるようにするための機能の提供などを予定しています。有料版は、今年3月にリリース予定の英語版の反響を見ながら、今年の夏頃を目処に開始する予定です。

「VAddyの導入対象は、Webアプリケーションを開発する全ての企業です。中でも、脆弱性診断の予算とセキュリティ人材の確保が難しい企業や、リリースサイクルが早いスタートアップなどに最適です。今後、Webアプリケーション開発の世界で継続的セキュリティテストの文化が普及し、セキュリティ事故が1件でも多く減らせる世界を作る事が私たちの使命だと考えています」(西野)

サービス名称の由来は、「Vulnerability Assessment is your Buddy」(脆弱性診断はあなたの相棒)を省略した造語。VAddyが開発者の相棒となってセキュリティ面をサポートしたいという思いでつけられました。セキュリティへの不安を抱えながら開発をしている人にとって、本業の開発に力を注ぐことを可能にしてくれる心強い味方ではないでしょうか。

さらに詳細を知りたい方は、「継続的セキュリティテストVAddy」の資料をご覧ください。

----------[AD]----------