継続的セキュリティテストvaddy説明資料
TRANSCRIPT
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス
~CIサイクルでのセキュリティテストの自動化を実現~
2014/12/17 1
VAddy(バディ)
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 2
VAddyとは? Webアプリケーションの脆弱性診断を継続的に実施することができる
クラウド型のサービスです。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 3
Before 開発チーム
外部の診断会社 社内の専門チーム
コーディング
単体テスト
結合テスト
脆弱性診断
開発チーム 修正
リリース
After 開発チーム
コーディング
単体テスト
結合テスト
リリース
脆弱性診断
脆弱性診断
これまで開発の最終工程で実施されていたWebアプリケーションの脆弱性診断が
開発の全ての工程で自動的に何度でも実施できるようになります。
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 4
VAddyの開発背景
費用 専門の診断会社による検査は高価。 あらかじめ予算が確保されたプロジェクト以外では脆弱性診断を受けられない。
スピード 毎日のように新機能がリリースされるサービスでは、セキュリティテストを実施する時間が無く、機能追加の際に脆弱性が混入する場合も。
スキル 開発とセキュリティの両方のスキルを持つエンジニアが不足している。
Webアプリケーションへの攻撃は年々増加しているにも関わらず、 依然として脆弱なアプリケーションがリリースされ続けている理由
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 5
費用 VAddyは完全定額性。 毎月の固定料金で何度でもスキャン(テスト)できます。
スピード CIツールと連携し、セキュリティを完全自動化します。 自動的にテストが実行されるので、通常の開発リズムを妨げること無く、開発の初期段階からリリース後まで何度でもセキュリティテストが実施できます。
スキル VAddyの導入にセキュリティの専門知識は必要ありません。 VAddyを使いながら開発を行うことで、セキュリティ知識の向上も期待できます。
VAddyが解決します
もう脆弱なWebアプリケーションをリリースする心配はありません
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 6
こうした悩みを持った開発者/PMにオススメします
セキュリティへの不安を抱えながら開発を行っている
機能追加や改修の度に脆弱性診断を実施することが難しい
リリース直前の脆弱性診断がスケジュールに影響を与える
メンバー間でセキュリティ知識やスキルにバラつきがある
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 7
VAddyの特長
全ての言語/フレームワークに対応します。
特定の開発言語やフレームワークに依存したセキュリティテストツールは存在します。 VAddyはそうした特定の環境には依存しない実装を行っているため、 現在使われている全ての開発言語とフレームワークはもちろんのこと、 将来誕生する開発言語やフレームワークにも対応できます。
自社開発のスキャンエンジン
脆弱性検査を実施するスキャンエンジンは全て自社で開発しています。 外部のツール/サービスは利用していないため、外的な要因に影響されること無く、 柔軟に機能/性能拡張を継続することができます。
「Scutum※」で培ったノウハウ
2010年より国内SaaS型WAF市場においてシェアNo.1を連続して獲得している「Scutum」の開発/運用チームがVAddyの開発/運用を行っています。5年以上のWAFの運用経験で培われた技術と知見が投入されています。
※株式会社ビットフォレストが開発を担当したクラウド型(SaaS型)WAFサービス https://www.scutum.jp/
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 8
通常の開発サイクル
Repository
Deploy
TEST SERVER
Code push
CI
静的解析 GUIテスト
カバレッジ測定 単体テスト
Etc… セキュリティテスト
Etc… test
利用イメージ
通常のCIサイクルに組み込むだけ!
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 9
現在の料金プランは、JenkinsプラグインとWebAPI に対応し、SQLインジェクション検査とXSS検
査を回数無制限でご利用いただける無料版(フリープラン)のみですが、今後、より機能を拡
充した有料版(スタンダードプラン・プロプラン)の提供を予定しています。
プラン
フリー
・スキャン回数無制限 ・SQLインジェクション検査 ・XSS(クロスサイトスクリプティング)検査 ・Jenkins連携 ・WebAPI利用 ・スキャン対象サーバ数 5FQDN ・スキャン履歴 最新10件まで
0円
スタンダード
Coming Soon
プロ
Coming Soon
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 10
VAddyは「Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒)」の省略形。
「開発者の相棒となって、セキュリティ面を支えて行きたい」との思いを込めて命名しました。
開発の初期段階からリリース後まで継続的にセキュリティテストを実施することで、安心し
てプロダクトをリリースできる世界を、VAddyは目指しています。
Let’s VAddy!
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストサービス VAddy
2014/12/17 11
株式会社ビットフォレスト VAddy事業部 市川/西野 03-5361-2081 [email protected] VAddy http://vaddy.net/ja/ VAddy技術ブログ http://blog-ja.vaddy.net/
本資料についてのお問い合わせ