vaddyサービス説明資料

Copyright (c) Bitforest Co., Ltd.

継続的Webセキュリティテストサービス

～サービス説明資料～

1

ＶＡｄｄｙ（バディ）


継続的Webセキュリティテストサービス VAddy

2

VAddyとは？



3

Webアプリケーションの脆弱性診断をセキュリティの専門知識がなくても

継続的に実施することができるクラウド型のサービスです。



4

Before開発チーム

外部の診断会社社内の専門チーム

コーディング

単体テスト

結合テスト

脆弱性診断

開発チーム

修正

リリース

After開発チーム

コーディング

単体テスト

結合テスト

リリース

脆弱性診断

脆弱性診断

これまで開発の最終工程で実施されていたWebアプリケーションの脆弱性診断が

開発の全ての工程で自動的に何度でも実施できるようになります。



5

セキュリティテストの現状と課題



6

費用専門の診断会社による検査は高価。あらかじめ予算が確保されたプロジェクト以外では脆弱性診断を受けられない。

スピード一般的にセキュリティテストは開発の最終工程で実施されるので、脆弱性が発見された場合の手戻りが大きく、製品のリリーススケジュールに影響を与えがち

スキル開発とセキュリティの両方のスキルを持つエンジニアが不足しており、既存の脆弱性検査ツールを使いこなしているケースは稀である。

セキュリティテストが実施されない理由



7

費用VAddyは完全定額性。毎月の固定料金で何度でもスキャン（テスト）できます。

スピードCIツールと連携し、セキュリティを完全自動化します。自動的にテストが実行されるので、通常の開発リズムを妨げること無く、開発の初期段階からリリース後まで何度でもセキュリティテストが実施できます。

スキルVAddyの導入にセキュリティの専門知識は必要ありません。VAddyを使いながら開発を行うことで、セキュリティ知識の向上も期待できます。

VAddyが解決します



8

VAddyの特徴



9

インストール不要

VAddyはクラウド型のセキュリティテストサービスです。

ご用意いただくのはインターネットからアクセスできる

テスト環境だけ。

簡単なアプリケーションであれば、お申込から約10分

でセキュリティ診断を開始できます。



10

特別なセキュリティ知識は不要

VAddyの利用に複雑な設定は必要ありません。

通常のブラウザテストと同じ流れで脆弱性検査

ができるので、受入検査を行う発注者さんや

Webディレクターさんにもご利用いただけます。



11

必要な箇所だけをスピーディーに検査

VAddyでは検査するパラメータを事前に登録する

ため、予期せず他のページ／アプリケーションを

検索することはありません。

そのため、大規模なWebアプリケーションであって

も、機能追加／改修した箇所のみをスピーディー

に検査できます。

Scan



12

全ての開発言語／フレームワークに対応

VAddyはDynamic Security Application

Testing(DAST)と呼ばれる検査方法を採用して

います。お客様のテスト環境のWebサーバに

対して、HTTPリクエストを実際に送信し、受け

取ったレスポンスデータを検証して脆弱性の有

無を判断しています。

そのためソースコード解析型の検査ツールと

は異なり、ソースコードを開示する必要はなく、

どんな言語やフレームワークが使われている

Webアプリケーションも検査可能です。

and so on…



13

CIツールとの連携による脆弱性検査の自動化

Jenkinsを始めとするCIツールと連携も可能です。

一度CIサイクルに組み込んでしまえば、VAddy

の存在を意識すること無く、脆弱性検査を自動

化できます。

CI

静的解析 GUIテスト

カバレッジ測定単体テスト

Etc…セキュリティテスト

Etc…

通常のCIサイクルに組み込むだけ！

and so on…



14

自社開発のスキャンエンジン

VAddyの脆弱性検査エンジンは全て自社開発。

人工知能の技術を利用した検査エンジンが、お

客様のアプリケーションの動きを自動的に把握

して検査します。



15

長年のWAF運用で培われたノウハウ

2010年より国内SaaS型ウェブアプリケーション

ファイアウォール（WAF）市場においてシェア

No.1を連続して獲得している「Scutum※」の開

発／運用チームがVAddyの開発／運用を行っ

ています。

長年のWAFの運用経験で培われた技術と知

見が投入されています。

※株式会社ビットフォレストが開発を担当したクラウド型（SaaS型）WAFサービスhttps://www.scutum.jp/



16

検査内容



17

VAddyでは以下の５種類の脆弱性を検査します。

• SQLインジェクション

• XSS（クロスサイト・スクリプティング）

• リモートファイルインクルージョン

• コマンドインジェクション

• ディレクトリトラバーサル

脆弱性が発見された！



18

検査の共通動作

お客様によって事前に登録されたクロール

データ（お客様のWebアプリケーションのURL、

パラメータ情報）を元に検査リクエストを送信

します。

クロールした状態をそのまま再現して検査す

るため、すべてのHTTPメソッドが検査対象で

す(GET, POST, PUT, DELETEなど)。

APIサーバとしてJSON形式のデータが送信さ

れる場合はJSONの中のパラメータを検査デー

タに変更して送信します。



19

料金プラン



20

月額固定料金でご提供しています。

Free Standard Professionalスキャン回数無制限 ✓ ✓ ✓

SQLインジェクション検査 ✓ ✓ ✓

XSS検査 ✓ ✓ ✓

RFI検査 ✓ ✓

コマンドインジェクション検査 ✓ ✓

ディレクトリトラバーサル検査 ✓ ✓

Jenkins／CircleCI連携 ✓ ✓ ✓

WebAPI利用 ✓ ✓ ✓

チーム利用 5ユーザー／FQDN 50ユーザー／FQDN

スキャン上限時間 5分 1時間 3時間

スキャン速度 Normal Fast Very Fast

スキャン履歴過去1ヶ月分過去1年分過去3年分

スキャン対象サーバ数 3FQDN 3FQDN 3FQDN

FQDN追加（オプション） ✓ ✓

FQDN追加（税込月額料金）

$30/FQDN $90/FQDN

月額料金（税込） $0 $100 $300



21

サポート



22

VAddyミートアップ VAddy個別相談会

チャットサポートVAddyユーザー間の交流やノウハウの共有を目的としたイベントを、毎回ゲストスピーカーをお招きして開催しています。

隔月開催（都内／福岡ほか）

毎週木曜日にビットフォレスト事務所にて各枠１社

限定の個別相談会を実施しています。

遠方の方にはSkype等を利用したオンライン相談会

を随時開催しています。

VAddyのコンソール画面から

いつでもチャットでお問い合わ

せいただけます。



23

導入企業例



24

02004006008001000

2015年1月

2015年3月

2015年5月

2015年7月

2015年9月

2015年11月

2016年1月

2016年3月

日本海外

2016年6月現在

日本国内：600 / 海外：270 合計870アカウント



25

株式会社ビットフォレストVAddy事業部市川／西野03-‐5361-‐[email protected]

VAddyhttp://vaddy.net/ja/

VAddy技術ブログhttp://blog-‐ja.vaddy.net/

Twitterhttps://twitter.com/vaddynet

本資料についてのお問い合わせ

vaddyサービス説明資料

Technology