Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

Jenkinsを使った  

継続的Webセキュリティテスト

2015/1/11 Jenkins Conf Tokyo1

株式会社ビットフォレスト  市川

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

テストの普及

• 不具合の検出  

• 再発防止  

• リファクタリング・アップデート

2

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

忘れがちなテスト

•セキュリティテスト  

•今回はWebの脆弱性検査の話  

•パフォーマンステスト

3

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

セキュリティテストの重要性

• 情報漏洩  

• 改竄、マルウェアの配布  

• 他サイトへのリスト型攻撃に悪用

4

損害賠償、２次被害など影響が大きい

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

5

セキュリティテスト  必須の時代に

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

現状の問題点

6

開発チーム

外部の診断会社  社内の専門チーム

コーディング

単体テスト

結合テスト

脆弱性診断

開発チーム

修正

リリース

問題点  !•リリース直前に大量の脆弱性発見  

•スケジュール遅延  

•リリース後の修正・機能追加  

•診断が難しい(コスト・期間)

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

7

理想的には  開発初期から  リリース後まで

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

8

継続的な  セキュリティテスト  

が必要

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

世界の流れ

• Google  • GTAC  2013:  Finding  XSS  at  Google  Scale  • 社内で独自ツールを使ってチャレンジ中  

• https://www.youtube.com/watch?v=rd5TZKRg-­‐lc

9

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

世界の流れ• カーネギーメロン大学ソフトウェア工学部  

• http://blog.sei.cmu.edu/post.cfm/security-­‐continuous-­‐integration-­‐338

10

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

継続的Webセキュリティテスト

11

開発チーム

外部の診断会社  社内の専門チーム

コーディング

単体テスト

結合テスト

脆弱性診断

開発チーム

修正

リリース

継続的セキュリティテスト開発チーム

コーディング

単体テスト

結合テスト

リリース

脆弱性診断

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

継続的Webセキュリティテストの課題

• 既存のツールを使う場合  

• 設定項目が多くノウハウを貯める必要  

• 設定が不十分だと検査効果が少ない  

• ノウハウを貯めながら運用し続けるのは大変  

• CIのフローに乗せるのが大変

12

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

13

継続的  セキュリティテストを  簡単に実現する  サービスが必要

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

14

継続的Webセキュリティテストサービス

http://vaddy.net

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

VAddyの特徴

• ブラックボックスのWeb脆弱性診断  

• CI連携を前提に設計  

• セキュリティ検査エンジンを独自開発  

• ユーザが行う設定作業を最小限にして、簡単に導入できるようにするため  

• 機械学習の機能を持ったエンジン  

• JAVAで開発中

15

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

VAddyの特徴

• セキュリティエキスパートが開発・運用  

• 国内No.1のSaaS型Webアプリケーションファイアーウォール(WAF)  Scutumの開発運用を6年行っているチームでVAddyを開発しています  

• http://scutum.jp

16

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

VAddyの現状(2015/1/11現在)

• 無料プランのみ提供中  

• 何度でもスキャン実行可能  

• SQLインジェクション、XSS  

• Jenkinsプラグイン提供中  

• じげん様のCIフローにVAddyを組み込んで頂いています

17

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

よくある構成

18

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

Jenkins VAddyプラグイン提供中

19

https://wiki.jenkins-­‐ci.org/display/JENKINS/VAddy+Plugin

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

HipChat通知

20

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

VAddyのミッション

21

継続的  セキュリティテスト  文化の普及

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

22

継続的な  セキュリティテストで  

安心してリリースすることが  今後のトレンドになる

最後に

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

VAddyミートアップ開催• 参加費無料  

• 2015/2/19(木)    19:00    新宿  

• http://vaddy.doorkeeper.jp/events/19464  • 内容  

• 最新セキュリティ情報  • VAddy説明、デモ、相談会  • 20:30から会場で懇親会（無料）

23

Copyright  (c)    Bitforest  Co.,  Ltd.

　

　

ご清聴ありがとうございました

24

Vulnerability  Assessment  is  your  Buddy（脆弱性診断はあなたの相棒）