vaddyサービス説明資料
TRANSCRIPT
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
3
Webアプリケーションの脆弱性診断をセキュリティの専門知識がなくても
継続的に実施することができるクラウド型のサービスです。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
4
Before開発チーム
外部の診断会社社内の専門チーム
コーディング
単体テスト
結合テスト
脆弱性診断
開発チーム
修正
リリース
After開発チーム
コーディング
単体テスト
結合テスト
リリース
脆弱性診断
脆弱性診断
これまで開発の最終工程で実施されていたWebアプリケーションの脆弱性診断が
開発の全ての工程で自動的に何度でも実施できるようになります。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
6
費用専門の診断会社による検査は高価。あらかじめ予算が確保されたプロジェクト以外では脆弱性診断を受けられない。
スピード 一般的にセキュリティテストは開発の最終工程で実施されるので、脆弱性が発見された場合の手戻りが大きく、製品のリリーススケジュールに影響を与えがち
スキル 開発とセキュリティの両方のスキルを持つエンジニアが不足しており、既存の脆弱性検査ツールを使いこなしているケースは稀である。
セキュリティテストが実施されない理由
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
7
費用VAddyは完全定額性。毎月の固定料金で何度でもスキャン(テスト)できます。
スピードCIツールと連携し、セキュリティを完全自動化します。自動的にテストが実行されるので、通常の開発リズムを妨げること無く、開発の初期段階からリリース後まで何度でもセキュリティテストが実施できます。
スキルVAddyの導入にセキュリティの専門知識は必要ありません。VAddyを使いながら開発を行うことで、セキュリティ知識の向上も期待できます。
VAddyが解決します
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
9
インストール不要
VAddyはクラウド型のセキュリティテストサービスです。
ご用意いただくのはインターネットからアクセスできる
テスト環境だけ。
簡単なアプリケーションであれば、お申込から約10分
でセキュリティ診断を開始できます。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
10
特別なセキュリティ知識は不要
VAddyの利用に複雑な設定は必要ありません。
通常のブラウザテストと同じ流れで脆弱性検査
ができるので、受入検査を行う発注者さんや
Webディレクターさんにもご利用いただけます。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
11
必要な箇所だけをスピーディーに検査
VAddyでは検査するパラメータを事前に登録する
ため、予期せず他のページ/アプリケーションを
検索することはありません。
そのため、大規模なWebアプリケーションであって
も、機能追加/改修した箇所のみをスピーディー
に検査できます。
Scan
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
12
全ての開発言語/フレームワークに対応
VAddyはDynamic Security Application
Testing(DAST)と呼ばれる検査方法を採用して
います。お客様のテスト環境のWebサーバに
対して、HTTPリクエストを実際に送信し、受け
取ったレスポンスデータを検証して脆弱性の有
無を判断しています。
そのためソースコード解析型の検査ツールと
は異なり、ソースコードを開示する必要はなく、
どんな言語やフレームワークが使われている
Webアプリケーションも検査可能です。
and so on…
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
13
CIツールとの連携による脆弱性検査の自動化
Jenkinsを始めとするCIツールと連携も可能です。
一度CIサイクルに組み込んでしまえば、VAddy
の存在を意識すること無く、脆弱性検査を自動
化できます。
CI
静的解析 GUIテスト
カバレッジ測定単体テスト
Etc…セキュリティテスト
Etc…
通常のCIサイクルに組み込むだけ!
and so on…
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
14
自社開発のスキャンエンジン
VAddyの脆弱性検査エンジンは全て自社開発。
人工知能の技術を利用した検査エンジンが、お
客様のアプリケーションの動きを自動的に把握
して検査します。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
15
長年のWAF運用で培われたノウハウ
2010年より国内SaaS型ウェブアプリケーション
ファイアウォール(WAF)市場においてシェア
No.1を連続して獲得している「Scutum※」の開
発/運用チームがVAddyの開発/運用を行っ
ています。
長年のWAFの運用経験で培われた技術と知
見が投入されています。
※株式会社ビットフォレストが開発を担当したクラウド型(SaaS型)WAFサービスhttps://www.scutum.jp/
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
17
VAddyでは以下の5種類の脆弱性を検査します。
• SQLインジェクション
• XSS(クロスサイト・スクリプティング)
• リモートファイルインクルージョン
• コマンドインジェクション
• ディレクトリトラバーサル
脆弱性が発見された!
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
18
検査の共通動作
お客様によって事前に登録されたクロール
データ(お客様のWebアプリケーションのURL、
パラメータ情報)を元に検査リクエストを送信
します。
クロールした状態をそのまま再現して検査す
るため、すべてのHTTPメソッドが検査対象で
す(GET, POST, PUT, DELETEなど)。
APIサーバとしてJSON形式のデータが送信さ
れる場合はJSONの中のパラメータを検査デー
タに変更して送信します。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
20
月額固定料金でご提供しています。
Free Standard Professionalスキャン回数無制限 ✓ ✓ ✓
SQLインジェクション検査 ✓ ✓ ✓
XSS検査 ✓ ✓ ✓
RFI検査 ✓ ✓
コマンドインジェクション検査 ✓ ✓
ディレクトリトラバーサル検査 ✓ ✓
Jenkins/CircleCI連携 ✓ ✓ ✓
WebAPI利用 ✓ ✓ ✓
チーム利用 5ユーザー/FQDN 50ユーザー/FQDN
スキャン上限時間 5分 1時間 3時間
スキャン速度 Normal Fast Very Fast
スキャン履歴 過去1ヶ月分 過去1年分 過去3年分
スキャン対象サーバ数 3FQDN 3FQDN 3FQDN
FQDN追加(オプション) ✓ ✓
FQDN追加(税込月額料金)
$30/FQDN $90/FQDN
月額料金(税込) $0 $100 $300
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
22
VAddyミートアップ VAddy個別相談会
チャットサポートVAddyユーザー間の交流やノウハウの共有を目的としたイベントを、毎回ゲストスピーカーをお招きして開催しています。
隔月開催(都内/福岡ほか)
毎週木曜日にビットフォレスト事務所にて各枠1社
限定の個別相談会を実施しています。
遠方の方にはSkype等を利用したオンライン相談会
を随時開催しています。
VAddyのコンソール画面から
いつでもチャットでお問い合わ
せいただけます。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
24
02004006008001000
2015年1月
2015年3月
2015年5月
2015年7月
2015年9月
2015年11月
2016年1月
2016年3月
日本 海外
2016年6月現在
日本国内:600 / 海外:270 合計870アカウント
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
25
株式会社ビットフォレストVAddy事業部市川/西野03-‐5361-‐[email protected]
VAddyhttp://vaddy.net/ja/
VAddy技術ブログhttp://blog-‐ja.vaddy.net/
Twitterhttps://twitter.com/vaddynet
本資料についてのお問い合わせ