VAddyブログ - 継続的セキュリティテストへの道 -

VAddyで実施した脆弱性検査レポートのPDFダウンロード機能をリリースしました。これにより、クライアントなどに提出するためのレポートをPDF形式で取得できるようになります。

現在は、Professional/Platinum/Platinum+プランのみ対応となります。（無料トライアル、Starterプランは非対応）

どのようなレポートが出力されるかは、サンプルのレポートをご覧ください https://vaddy.net/ja/reportsample/sample.pdf

レポート内容

レポートの中では下記のような、全体の脆弱性件数、実施ユーザ、検査項目毎の検査数と脆弱性件数のサマリーを表示します。検査項目毎に何をしているか、リスクはどれぐらいかという説明のページもあります。

検査詳細ページでは、URL毎の脆弱性件数を表示します。

開発までの経緯

今まで私たちはVAddyを継続的な脆弱性検査ツールとして開発してきました。継続的/自動化のアプローチでは脆弱性の早期発見と解決に注力できる機能こそ重要と考えていたため、こうした報告書形式のレポート出力機能の開発は優先度を上げていませんでした。なぜなら、VAddyを使って毎日のように検査を実施しているお客様にとって、こうした形式のレポートは検査毎に必要になるわけではないと考えていたからです。

しかしながら、最近では受託開発の案件での納品前検査や、BtoBビジネスでのクライアントへの定期報告等、当初私たちが考えていた以上の使われ方をすることが非常に増えており、同時にその中でこうした形式のレポートへの要望をいただくことも増えてきました。

今回のPDFレポートダウンロード機能の追加によって、継続的脆弱性検査ツールとしての利用はもちろんのこと、対外的な報告を目的とした脆弱性検査ツールとしてもより使いやすくなりました。

私たちとしては、VAddyを使ってくださる方が安心して使えて、効果や実績をちゃんと伝えることができる機能も必要だと強く感じています。

今後も、このような機能も含めて機能追加や改善を行っていきます。

hostsファイルのように、DNS登録していないドメインに対してIP指定して脆弱性診断ができるようになりました！ https://vaddy.net/ja/

OSのhostsファイルを使わないと動作確認ができないようなWebアプリケーションは、DNSに検査対象のFQDNが登録されておらず、VAddyでは脆弱性診断ができませんでした。

上の図のようにVAddyのプロジェクト作成（サーバー登録）画面にIP指定欄が追加されています。hostsファイルの記述と同様に、FQDNとIPアドレスを入力することで、DNS登録されていないFQDNとIPアドレスの組み合わせも検査対象とすることができます。

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました！

これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているWebアプリケーションの脆弱性検査が実現されます。

中規模以上のWebアプリケーションでは機能ごとにFQDNが分かれているケースが多くあります。

例えばECサイトなどで見られる以下のようなケースです。

ログイン機能：login.example.com 会員ページ：mypage.example.com

これまでのVAddyではこのようなアプリケーションの脆弱性検査を行うには、それぞれのFQDNで個別に検査を実行する必要があったため、別FQDNで提供されているログイン機能を経由しないと動作しないアプリケーションの検査はできませんでした。

今回リリースした新バージョンのVAddyでは、複数のFQDNを「プロジェクト」まとめて一つの検査対象とすることで、そうしたWebアプリケーションでも一つのクロール（テストシナリオ）で検査できるようになります。 また、検査除外FQDN設定が可能となり、例えば認証サーバは検査しないなど、より柔軟な検査ができるようになりました。

この機能はVAddyの全てのプランでご利用いただけます。(なお、プライベートネット版は本機能の対象外です）

この新機能のご利用については若干の注意事項もございますので、既にVAddyをご利用いただいているお客様におかれましては、以下のFAQ＆マニュアルをご参照いただけますよう、お願いいたします。 なお、すでにご利用中のサーバに関しては複数FQDN対応しておりませんので、同じFQDNで新規にプロジェクトを作成してご利用ください。

新バージョンの注意点(V1とV2について)

プロジェクト機能とは？

VAddyはクラウド型Web脆弱性検査ツールです。脆弱性診断におけるコスト問題の解決に。

チーム機能に新しい機能を追加しました。 これまでは検査対象FQDNの認証（Verify）処理を行えるのはFQDNを登録したアカウント（Owner）だけでしたが、本日のアップデートによりFQDNのチームメンバー（write権限）も認証を行えるようになりました。

複数のチームがいる企業では、Ownerが全ての検査対象サーバのVerify処理を行うのは大変なため、チームのメンバーがVerify処理できないと現場では使いにくいという要望を頂き、今回のリリースにつながりました。

本機能により、OwnerはVAddyのプラン契約と支払い、課金に関わる検査対象サーバの初期登録のみに集中でき、それ以外の検査に関わる箇所はチームメンバーが行えるようになりました。

Ownerの画面

今までは、Verify処理が完了していないと「チーム管理パネル」が表示されず、チームメンバー登録ができませんでした。今回からチーム管理パネルが表示され、メンバーの追加削除ができるようになっています。

Write権限ユーザの画面

今までは、Verify処理が完了していないと画面表示もできませんでしたが、今回から登録した検査対象サーバの画面表示と、Verifyボタンが有効化されています。

チーム機能は一部のユーザのみ利用している状況でしたが、最近は多くのチームを抱える企業の利用が増えてきており、今後も要望に応じてチーム機能は改善していきたいと思います。

今年の2月に発表したVAddy Platinum / Platinum +（プラス）を本日より提供開始しました！

【プレスリリース】 ビットフォレストはSHIFT SECURITYと業務提携し、クラウド型Web脆弱性検査サービス「VAddy」の上位プランの提供を開始 https://vaddy.net/ja/release/20180214.html

これまで弊社ではVAddyという「開発者向け脆弱性検査ツールの提供」に特化するスタンスを取っており、そこで発見された脆弱性への対処はお客様自身で行っていただいておりました。

しかしながら、昨今の脆弱性診断ニーズの高まりを受け、

「脆弱性の対処方法のアドバイスが欲しい」 「手動診断もお願いしたい」 「OWASP TOP10に対応した検査を実施したい」

と言ったご要望をいただくようになってきましたが、弊社はSaaS型サービスの提供に特化した少数のエンジニア集団ということもあり、そうした個別のご相談はお受けできませんでした。

そこでこの度そうしたニーズにお答えするために、脆弱性診断の専門企業である株式会社SHIFT SECURITYさんにご協力いただき、毎日使える脆弱性検査ツールと脆弱性対応サポート、さらにはOWASP TOP10に準拠した手動診断までパッケージしたVAddy上位プランを提供することとなりました。

VAddy 上位プラン（Platinum / Platinum +）の概要は次のとおりです。

●VAddy Platinum VAddy Professional（1年） + 脆弱性対応サポート ¥598,000+税／年

●VAddy Platinum +（プラス） VAddy Professional（1年） + 脆弱性対応サポート + 手動診断 ¥898,000+税／年

※詳しくはこちらの料金ページを参照ください。 ※脆弱性対応サポートおよび手動診断は株式会社SHIFT SECURITYから提供されます。

VAddy Platinum + プランをご契約いただくことで、開発の初期段階からの毎日の脆弱性検査と年に一回の手動診断（第三者機関による検査）をワンストップでご利用いただくことができます。

また、Platinum +に含まれる手動診断にはセキュリティ専門家によるレポートが含まれており、万が一脆弱性が発見された場合でも具体的な対処方法が提示されます。

VAddy Platinum / Platinum +のご利用はVAddy管理画面からお申込みいただけます。

また、すでにVAddy Professionalを年間契約でご利用いただいているお客様向けに、ご利用の期間に応じた料金でご提供いたしますので、お気軽にお問い合わせください。

Webアプリケーション開発における脆弱性検査の重要性は日に日に高まってきています。この機会にぜひVAddyによる脆弱性検査の仕組みの構築をご検討ください。

VAddyは開発現場で使える脆弱性検査ツールとして誰でも簡単に使えるように設計しています。 https://vaddy.net/ja/

最近VAddyユーザの方や、興味がある方とお話すると、たとえ簡単なお問い合わせフォームだとしても、発注元からXSSの検査は最低限行うような指示があるとよく聞くようになりました。

VAddyのXSS検査は、今までは反射型XSSのみの対応でした。今回、蓄積型XSSに対応したことで幅広いXSSの検査が可能になりました。 反射型XSSは、検査データのHTTPリクエストに対するレスポンス画面のみの検査です。蓄積型は、検査データがDBやセッションに保存され、別画面で表示される際に発動するXSS脆弱性です。 例えば、ユーザ情報編集画面ではXSSの問題は発生しなくても、ユーザプロフィールを表示する別画面ではエスケープ漏れによってXSSが発動するようなケースで検出できます。

蓄積型XSSを検出すると、検査結果画面には上の図のように表示されます。URLは実際にXSSが発動した画面のURLになります。反射型と違い、検査パラメータの送信によって発動するものではないため、蓄積型の場合は脆弱性があるパラメータ名のカラムは空欄になります。

右のResponseボタンを押すと、実際にXSSが発動したhtmlとその該当箇所がハイライト表示されます。

レポートには、反射型XSSと蓄積型XSSがそれぞれ表示されます。問題があった箇所にバツマークが付きます。

今までで要望の多かった蓄積型XSS検査に対応しました。今後もVAddyユーザからの要望に沿えるように開発を進めていきます。 脆弱性診断における課題の解決に。高速で手軽なVAddyの脆弱性検査を試してみませんか？

VAddyユーザーミートアップ Vol8を開催しました。 今回の会場はなんと「大阪」！ ついに関西上陸です。

これまで東京と福岡で開催していたVAddyミートアップですが、EC-CUBEでおなじみの株式会社ロックオン様にご協力いただき、VAddyミートアップ in 大阪が実現しました。

私たちは10月に「OSSプロジェクトへのVAddy無償提供」を発表し、ロックオン様が開発しているEC-CUBEにもVAddyを提供させていただくことになりました。今回のVAddyミートアップではゲストにEC-CUBE開発担当者の方をお招きして、EC-CUBEの開発現場でのVAddyの活用方法をお話いただきました。

セッションの様子

現場で使えるセキュリティテストツールVAddyの哲学 株式会社ビットフォレスト CTO／VAddyプロダクトマネージャー 市川（@cakephper）

今回はVAddyの関西初上陸ですので、VAddyの機能説明の他にVAddy開発の経緯や思想についてもお話させていただきました。近ごろでは開発エンジニアだけでなく、実際の診断業務を行っているセキュリティエンジニアの方からVAddyを評価されることが増えてきたように感じます。セキュリティエンジニア不足が問題となっている昨今、開発側でVAddyを使った最低限のセキュリティテストを実施して欲しいという診断士側からの強い要望を感じています。

発表資料 https://www.slideshare.net/ichikaway/vaddy-82793553/

VAddy ✕ EC-CUBE 株式会社ロックオン EC-CUBE事業部 奥 清隆様

国内No.1 ECサイト構築OSS「EC-CUBE」の開発現場でのVAddyの導入事例をお話いただきました。 EC-CUBEではVAddy導入以前から有償の脆弱性検査ツールが利用されていましたが、検査に数日かかってしまうので、そちらのツールでの検査をリリース直前に行い、日々の検査は検査回数無制限のVAddyを利用されているとのことです。また、VAddyのクロールデータ（テストシナリオ）の作成については、既に準備されているCodeceptionによる自動Webテスト環境を利用されています。

「Webテストの整備／メンテナンスは大変ですが、VAddyを使い始めたことでWebテストの価値が倍くらいに上がった（バグと脆弱性を両方見つけられるので）気がします」という言葉が印象的でした。

発表資料 https://www.slideshare.net/ec-cube-official/20171122vaddymeetupeccubevaddy

懇親会

恒例の懇親会です。 今回もアプリケーションエンジニア、データベースエンジニア、インフラエンジニア、セキュリティエンジニアなど様々な職種の方々にご参加いただきました。なんと広島からご参加いたたいだ方も！

職種は違えど同じ問題意識を持つ者同士、初対面でも話は尽きず、予定した終了時間を大幅に越える大盛り上がりの懇親会となりました。

貴重な機会をご用意していただいた株式会社ロックオンの皆様、本当にありがとうございました。また来るぞ〜！

2週間無料トライアル！ クラウド型Web脆弱性検査サービス「VAddy」 https://vaddy.net/ja/

VAddyはクラウド型のWeb脆弱性検査ツールです。 誰でも簡単に使えて手軽に自動化もできます。

VAddy利用者から要望が多かったレポート機能をリリースしました！

今までは、検査で脆弱性が発見された場合は、該当URL、パラメータ、脆弱性種別を表示しているのみでした。

利用者からは、検査した全体のURLのうち、問題がなかった箇所と問題があった箇所を一覧表示してわかりやすくして欲しいという要望がありました。 また脆弱性が0件だった場合でも、どのURLが検査されて、そこで問題がなかったことを確認したい、結果を残しておきたいという要望もありました。

問題がある箇所はバツ印と数字が表示され、数字は問題の件数（パラメータ数）を示しています。

さらに、問題があった箇所にマウスオーバすると、脆弱性があったパラメータ名が表示されます。例えば、該当URLのXSS問題があったパラメータ名のみ確認したいというケースで役立ちます。

今回はどちらかというと簡易的なレポート機能ですが、今後は詳細レポート機能をリリースする予定です。より詳細な情報をPDFでダウンロードでき、手元の環境や、開発リポジトリの中にいれて管理できるようになります。

レポートの意義

2014年にリリースした当初は、このようなレポートは求められず、問題のあった箇所が修正できる情報のみを表示し、修正して再検査で解決していることを確認してもらえれば、VAddyの意義はあると考えていました。

特にCI(継続的インテグレーション)と組み合わせていく場合は、検査のレポートよりも、早く脆弱性を0件にしてオールグリーンの状態を維持することが重要になるため、レポートの意義は薄いと考えていました。

しかし、たくさんのお客様と接していくうちに、このようなレポートを保持して、ある時点では問題なかったというのがはっきり分かるようにしていくのも、お客様の会社規模や監査ルールによっては必要だとわかりました。

私（開発リーダ 市川）としては本機能をリリースするまでは、本当にやる必要があるのか、見せる情報が増えてお客様を混乱させないかなど、やる・やらないを決めるのに迷っていましたが、実際に作って見てみると、便利ですし問題がなかった場合も検査した範囲がわかりやすく表示されているので、実装してよかったです。

この機能が多くの利用者のためになることを願っております。

操作方法

具体的な操作方法はアニメーションをご覧ください。

9/30(金)のプレミアムフライデーの夜に、アップデートを行いました！

今までは、検査開始画面から該当クロールデータ（シナリオ）をプルダウンで指定するか、検査実行用のクライアントツールからクロールIDを指定した検査実行のみでした。

本アップデートにより、クロール登録一覧画面から該当のシナリオを使った脆弱性検査が実行できるようになりました。 過去のクロールデータを久しぶりに検査に利用する場合など、より分かりやすく、操作しやすくなったと思います。

VAddyを運営している株式会社ビットフォレストは大手町の本社のみでしたが、今年から福岡オフィスを開設し営業しています。しばらくは、VAddy開発リーダの私、市川のみが福岡オフィスに常駐し、今後は採用活動や九州の窓口として機能していく予定です。

2017年9月4日に、福岡オフィスの開設パーティを行いました。日頃お世話になっている方や、福岡コミュニティで知り合った方など、多くの人に参加して頂きました。

ピーク時は、人の多さでクーラーが追いつかない熱気に。

当日は、17時から23時で開催予定でしたが、なかなか参加者が帰らず大いに盛り上がって気づけば1時を過ぎていました。さすが、福岡の人たちは違いますねw

今回は、主催の私の趣味全開でやらせていただきました。行きつけのクラフトビールパブのガストロパブ・エールズの協力のもと、私が大好きなクラフトビール BrewDog社のJack Hammer IPAを樽で入れました。BrewDogのPunkIPAは有名で飲みやすいクラフトビールですが、Jack Hammer IPAは苦味も強く香りも強烈で美味しいビールです。

Jack Hammer IPAを樽で出すなんて、日本のエンジニア関係のパーティではここだけだと思います（ﾄﾞﾔ！

20リットル（約100杯）のIPAを用意してもらったものの、これは余るかもしれないと心配してましたが、結局樽は空になり、瓶ビールや缶ビールなども結構なくなってました。さすが福岡w

みなさん、初めてのIPAでしたが、9割ぐらいの方が気に入ってくださり、私のIPA洗脳活動がはかどりました。

今回は、パーティということで社名入りの記念品としてUSB充電器と電卓を用意して参加者の方にお配りましたが、電卓はまだ余ってるので興味あるかたは、ぜひビットフォレスト福岡オフィスに遊びにきてください！

ビットフォレスト福岡オフィス 　〒810-0001 福岡県福岡市中央区天神2-14-35 野村不動産天神ビル 4F

http://www.bitforest.jp/outline.html

今回の記念パーティで頂いたお酒がまだ余っているので、第2回を開催したいと思います。興味あるかたは、このサイトの「コミュニティに参加」ボタンを押してください！ https://bitforest-fukuoka.doorkeeper.jp/

今後とも、ビットフォレストをよろしくお願いいたします。

2017年8月24日にVAddyユーザーミートアップVol.7を開催しました。 会場は今回もコワーキングスペース茅場町Co-Edoです。

今年は「セキュリティ x Web開発」というテーマで、Webアプリケーション開発者向けのセキュリティ対策tipsなどをお送りしています。

夏休み明けということで参加者はいつもより少なめでしたが、そのぶんいつも以上に多くの質問をいただき、和気あいあいとしつつも濃いイベントになりました。

セッションの様子

VAddyのご紹介／VAddy for PrivateNetのご説明 株式会社ビットフォレスト VAddyプロダクトマネージャー市川( @cakephper )

6/14にリリースしたばかりのPrivateNet版VAddyの説明を中心にお話させていただきました。PrivateNet版VAddyとは、ローカル環境にあるWebサーバーの脆弱性検査を実現したもので、今までのVAddyでは検査ができなかったVMware、Vagrant、Dockerなどの仮想環境や、TravisCIやCircleCIのようなCI as a Service環境のWebサーバーも検査ができるようになりました。 

WEBアプリのセキュリティは何から手を付ければ良いのか？ ikepyon様( @ikepyon )

そしてゲストトークには、某大手SIerにセキュリティエンジニアとして勤務されているikepyon様をお迎えして、開発者が最初にやるべきセキュリティ対策についてお話いただきました。 動的診断と静的診断のメリット・デメリットや教育の重要性など、ベテランセキュリティエンジニアならではの経験に基づいた現実に即したセキュリティ対策のお話を聞けました。 

発表資料 WEBアプリのセキュリティは何から手を付ければ良いのか？

懇親会

先日このようなブログ記事が公開されました。

クラウドサービスを脆弱性診断する時のお作法 

とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス（IaaS）の利用者が脆弱性診断をする際の注意点がまとめられています。

この記事の中に

脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。

という言及があります。

VAddyはサーバー上のWebアプリケーションに対する脆弱性診断（ブラックボックステスト）を行うサービスですので、これに当てはまります。

上記のブログ記事ではAWS、Microsoft Azure、Google Cloud Platformのポリシーをまとめていただいているので、便乗して日本国内のクラウド事業者のポリシーについてまとめてみました。

主要クラウド事業者の脆弱性診断に関するポリシー

【Amazon Web Services】 侵入テスト - AWS クラウドセキュリティ | AWS

AWSの場合、脆弱性テスト／侵入テストを行う場合は事前申請が必要になります。申請用の専用フォームが用意されていますので、VAddyで脆弱性診断を行う際はAWSに事前申請をお願いします。入力項目にそれほど難しい内容はありませんが、「Total Bandwidth (Please provide expected Gbps)*」など、どう記入して良いかわからない場合はご連絡ください。

【Microsoft Azure】

Microsoft Cloud Unified Penetration Testing Rules of Engagement

As of June 15, 2017, Microsoft no longer requires pre-approval to conduct a penetration test against Azure resources.

2017年6月15日現在、マイクロソフトはAzureのリソースに対する侵入テストを実施するための事前承認を必要としません。

上記のように「侵入テスト（a penetration test）」については申請不要のようです。ただ、VAddyの検査は「侵入テスト（a penetration test）」というよりは「脆弱性検査（Vulnerability test / scanning）」の属するものなので、念のため問い合わせ中です。

【Google Cloud Platform（GCP）】

Security and Compliance on the Google Cloud Platform  |  Google Cloud Platform

Google Cloud Platform のセキュリティを評価するためにペネトレーション テストを行う際に、Google へ連絡する必要はありません。

Azure同様こちらも上記のような記載がありますが、VAddyはGCPのセキュリティを評価するためのテストではなく、GCP上で動いているWebアプリケーションの脆弱性を検査するものなので、こちらも念のため問い合わせ中です。

【IDCFクラウド】

脆弱性検査や負荷試験を行えますか？

検査時のトラフィックが数百Mbpsを超えることが見込まれる場合を除き、原則として事前申請は不要です。VAddyの検査ではこれほどのトラフィックは発生しませんので、事前申請無しでVAddyでの脆弱性検査を走らせることができます。

【ニフティクラウド】

脆弱性スキャンを実施しますが、申請は必要でしょうか。

「利用規約の範囲内で実施いただければ問題ないため、申請は不要です。 」

との記述があり、利用規約第8条（禁止事項）2項には

「ユーザーは、本サービスに用いるニフティの設備（通信設備、通信回線、電子計算機、その他の機器及びソフトウエアをいいます。）に無権限でアクセスし、又はその利用若しくは運営に支障を与える行為（支障を与えるおそれのある行為を含みます。）をしないものとします。」

との記述があります。

VAddyを使った脆弱性検査で「ニフティの設備に支障を与える」ことは考えにくいので、こちらも事前申請は不要と考えられます。

【さくらクラウド】

負荷テストや脆弱性診断は可能ですか？

負荷テストや脆弱性診断の実施に関しまして事前の連絡は不要で実施可能です。ただし、負荷テストや脆弱性診断などによって他のお客様への影響やサービス継続に支障があると判断された場合には、制限等を実施させていただく場合がございます。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【IIJ GIOインフラストラクチャーP2】

脆弱性検査の実施についての規定が見つからなかったので、サポートに問い合わせたところ、以下のような回答をいただきました（即日回答！）。転載許可をいただいていますので、以下に転載させていただきます（2017年6月27日時点）

明確に規定はございません。脆弱性検査や負荷試験は、基本的に申請などは不要です。ただし、弊社が「外部からの攻撃」「異常な振る舞い」（主に負荷）と判断した場合、他のお客様を守ることを目的としてサービス提供に制限（通信制限や停止）することや、契約者様に確認をさせていただく可能性がございます。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【ConoHa】

ConoHaさんもサポートから以下のような回答をいただきました（2017年6月28日時点）。こちらもブログへの転載は快諾をいただいております。

お問い合わせの件につきまして、ConoHaにおきましては脆弱性診断における事前申請の必要はございません。

お客様のご任意で行っていただいて問題ございませんが、検査に起因して他のお客様への影響が懸念される負荷等が発生した場合はサービスの制限を実施させていただく可能性がございますこと、あらかじめご了承ください。

負荷等によりサービスの制限となる可能性もございますため、事前に弊社へお知らせいただくことで何か問題が発生した際の対応を円滑することは可能となります。

ということで、こちらもVAddyを利用する際の事前申請は不要です。

【クラウド・エヌ（Cloudn）】

重要事項に関する説明について

こちらの禁止事項の中に

本サービスや、当社が提供する資産への攻撃、セキュリティ機構の破壊行為、もしくは調査、施行。

との記載があります。サポートにも問い合わせましたが、残念ながらVAddyでの脆弱性検査は禁止とのことでした。

VAddyの検査時のトラフィックってどうなの？

先ほどVAddyの検査ではクラウド事業者に影響が出るようなトラフィックは発生しないと書きましたが、具体的にはどれくらいのトラフィックが想定されるのでしょうか。

VAddyの脆弱性検査において、検査リクエストを並列に送信することはありません。1つのサーバに対する検査リクエストの送信後、レスポンスの受信完了を待って次の検査に移ります。

検査の実行間隔はテスト対象サーバのレスポンス時間に大きく依存しますが、例えば対象のサーバーが秒間2リクエストを処理できるとして、検査リクエストとレスポンスが合計500KBの場合は、1MB/secのトラフィックが発生するという計算になります。

検査対象は基本的に画像ではなくhtmlやjsonファイルなどのため、実際に発生するトラフィックはもっと少ないものがほとんどです。

まとめ

このように、AWSを除いて国内外の主要クラウドサービスでVAddyによる脆弱性診断を行う際の事前申請は不要とのことでした。

全体的に感じたのは各事業者とも脆弱性診断を行った際の「トラフィック量」を気にされているようです（当たり前か）。

VAddyによる脆弱性検査ではそれほど大量のトラフィックは発生しませんので、ちょっと安心ですね。

上記の情報はアップデートされる可能性がありますので、ご利用の際は最新情報を確認されることをオススメします。

また、「うちのサービスが入っていない！」「ここのクラウド事業者についても調べて！」というリクエストがございましたら、ご連絡ください。

梅雨の晴れ間の2017年6月22日にVAddyユーザーミートアップVol.6を開催しました。会場は今回もコワーキングスペース茅場町Co-Edoです。

通算12回目の開催となります。

今年は「セキュリティ x Web開発」というテーマで開催しておりますが、ゲストは前回に引き続き株式会社セキュアスカイ・テクノロジーさんです。

プログラマー、SE、セキュリティエンジニアなどなど、さまざまなバックグラウンドを持つ20名強の皆様にご参加いただきました。

セッションの様子

VAddyのご紹介／VAddy for PrivateNetのご説明

株式会社ビットフォレスト VAddyプロダクトマネージャー市川( @cakephper )

6/14にリリースしたばかりのPrivateNet版VAddyの説明を中心にお話させていただきました。PrivateNet版VAddyとは、ローカル環境にあるWebサーバーの脆弱性検査を実現したもので、今までのVAddyでは検査ができなかったVMware、Vagrant、Dockerなどの仮想環境や、TravisCIやCircleCIのようなCI as a Service環境のWebサーバーも検査ができるようになりました。

VAddyのPrivate Network対応は以前から要望として頂いていたもので、懇親会でも「やっとVAddyを使える！」との声をいただきました^^

開発者のためのWebセキュリティ診断入門

株式会社セキュアスカイ・テクノロジー 前平裕様( @y_maehira )

そしてゲストトークは前回に引き続き、セキュアスカイ・テクノロジー（以下SST）から技術開発部リーダーの前平様をお迎えしました。

2回連続でSST様をお呼びしたのは訳がありまして・・・諸事情で前回の発表内容が変わってしまったため、あらためてお呼びした次第でございます。 ※前回ミートアップの記事参照

脆弱性診断会社であるSSTさんが、実際にどのような手法とツールで診断を行っているのかをお話いただきました。

発表資料：開発者のためのWebセキュリティ診断入門

懇親会

ほぼ全員に参加いただいた恒例の懇親会。

懇親会でいただいたご質問やご意見はVAddyの今後の開発に役立っています。いつもありがとうございます^^

次回は8月を予定していますので、今後ともどうぞよろしくお願いします。

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。 既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。

ユーザからの要望として多く挙がっていたのが、イントラネット環境しかテストサーバがない、手元の開発マシンしかない、Travis, CircleCIのようなCI as a Serviceの環境でも検査したい、といったものでした。 これらを解決するために、今回PrivateNet版VAddyをリリースしました。 https://vaddy.net/ja/docs/private-index.html

本機能を開発してテストしている段階で、私の手元のMac上で動いているアプリケーション、VMwareのLinux環境で動いているアプリケーションなどにVAddyの検査を実施していました。 専用のテストサーバを用意する必要もなく、コードをコミットする前にも手軽に脆弱性検査が実施できていたので、開発しながらその便利さを自分で実感していました。 非常に良い機能になったと思いますので、試してみたい方は是非！

現在、フリープランを含むすべてのプランでPrivateNet版VAddyを提供しています。将来は有料プランのみ提供になる可能性があるため、今のうちに是非お試しください。 -> サインアップはこちらから

詳細は、マニュアルをご覧ください。 https://vaddy.net/ja/docs/private-index.html

具体的な動作

VAddy PrivateNetツールを提供し、これを利用して内部のWebサーバを、VAddyの環境に限定公開する形で実現しています。（VAddy PrivateNetツール自体が検査エンジンを搭載して検査するわけではありません）

具体的には、sshのリモートポートフォワードを使って、VAddyサーバからsshトンネルを通って、内部にあるユーザのwebサーバにアクセスが可能になります。 従って、VAddyの検査サーバなどはSaaSのまま提供して随時アップデートしてメンテナンスも我々が行います。

実際の動作の詳細はマニュアルの「動作の仕組み」のページをご覧ください。 https://vaddy.net/ja/docs/private-howtowork.html

VAddy PrivateNetツールはこちらからダウンロードできます。 https://github.com/vaddy/go-vaddy/blob/master/privatenet/README_ja.md

現在の制約

VAddy PrivateNetツールは、Java, bash, sshコマンドを利用するため、現在はMacOS, Linux, BSDなどの環境で動作します。Windowsはサポートしていませんが、WindowsのVagrantなど仮装環境で動くLinux上では利用できます。 また、sshを利用してトンネルを作りますので、社内ネットワークから社外へのsshが禁止されている環境では利用できません。

お問い合わせ先

もっと具体的に聞いてみたい、導入サポートが必要など、お気軽にご連絡ください。 https://vaddy.net/contact/ Twitter: @vaddynet

2017年最初のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。

2015年から始めたVAddyミートアップも今年で3年目、通算11回目の開催となりました。

昨年はVAddyのユーザー企業様をゲストにお招きしてお送りしてきましたが、今年は「セキュリティ x Web開発」というテーマで開催していきます。

セッションの様子

VAddyのご紹介 株式会社ビットフォレスト VAddyプロダクトマネージャー市川( @cakephper )

毎回行っているVAddy紹介のパートの今回の目玉は「VAddy for Private Network（仮称）」のご紹介。

VAddyはSaaS型でブラックボックステストを行うツールということもあり、これまではインターネットからアクセスできる（グローバルIPを持っている）Webサーバー上のアプリケーションしか検査できませんでした。

今回ご紹介した「VAddy for Private Network（仮称）」はそうしたグローバルIPを持っていないサーバー上のアプリケーションへの脆弱性検査を可能にします。

この機能によってローカルPCのVM上で動いているWebアプリケーションも検査できますので、本当の意味で「開発の初期段階からの脆弱性検査」が実現されます。

具体的なリリーススケジュールは未定ですが、夏前にはリリースできるのでは無いかと思います。

VAddyで人工知能はどう使われているのか 株式会社ビットフォレスト CTO 佐藤（金床）( @kinyuka )

みんなだいすき「人工知能」。 VAddyでは検査対象のWebアプリケーションの挙動を把握するために人工知能の技術（ベイジアンネットワーク）が使われています。

例えば、CSRF対策トークンを含む画面の場合は、検査のたびにトークン有効期限が切れるのでリフレッシュする必要があります。その画面がCSRF対策トークンを含んでいるか、どのパラメータがトークンなのかを自動判定する必要があるためベイジアンネットワークと探索の技術を利用しています。

ベイジアンネットワーク自体は1980年代からある「枯れた」技術ではありますが、この技術は弊社が開発しているクラウド型WAF「Scutum」でも利用されています。「枯れた=実績のある」技術を現代のコンピュータ性能で利用することで、かなり良い結果が出る場合があるのです。

開発者のためのWebセキュリティ診断入門 株式会社セキュアスカイ・テクノロジー はせがわようすけ様( @hasegawayosuke )

そして今回のゲスト枠には、弊社と家族同然のお付き合いをさせていただいているセキュアスカイ・テクノロジー（以下SST）からCTOのはせがわ様をお招きしました。

今ではScutumプロジェクトにおいて弊社と二人三脚でやらせていただいていますが、SSTさんはもともとは（今も）Web脆弱性診断会社です。

専門会社による脆弱性診断の具体的な内容を知らない開発者も多いと思うので、今回は「開発者のためのWebセキュリティ診断入門」というタイトルで、診断会社が実際にどんな手順で診断を行っているのかをお話いただく・・・はずでしたorz

はせがわ氏「やっぱりプレゼン変えま〜す。WAF作りました〜（笑顔）」

事前告知もなく発表内容を変えてきやがった！

ちなみにこのWAF、Web Application Firewallではございません。セキュアなWebアプリケーションに脆弱性を作り込むリバースプロキシです。誤植ではありませんよ、脆弱性を作り込むのです。

はせがわ氏はSST社内外のトレーニング用に脆弱なアプリケーションをいくつも作る必要があるそうですが、何度も脆弱なアプリケーションを作るのがめんどくさくなってしまい脆弱じゃないアプリケーションを脆弱にするツールを作ってしまったとのこと。

名付けてVurp（Vulnerability Reverse Proxy）

色んな意味で危険なプロダクトです。 ツールの説明をしながら喜々として安全なWebアプリケーションにXSSを作り込んでいくはせがわ氏、会場は大爆笑。

セッション終了後、はせがわ氏を問い詰めようとしたところ、

「金床さんの話が面白かったので、内容を変えちゃいました〜（笑顔）」

・・・これがインタープレイってやつですか、ジャズです。

ちなみに来場者アンケートでの評価は上々でした^^

懇親会の様子

恒例の懇親会。 今回はセキュリティ寄りの方が多く、初めて参加頂いた方が大半だった気がします。常連さんたちで盛り上がるのも良いですが、初めて参加した方々も楽しんでいただけたようで安心しました。

VAddyのWeb脆弱性検査では、今までもURLパスの検査を対象にしてきました。 http://blog-ja.vaddy.net/post/104745539236/semantic-url-scanning

今までは、下記のようにURLパスの最後の階層のみを検査対象にしてきました。 例えば、 http://example.com/foo/bar/1 だった場合は、1をパラメータとして見てそこを検査対象としていました。

アプリケーションによっては、URLパスの複数階層の中にパラメータが存在する場合があります。 例えば、 http://example.com//foo/username/edit/1 の場合は、usernameと1がパラメータとなるような場合です。 そのため、usernameも検査対象にしたほうが良いと考え、今回のアップデートを行いました。

VAddyでは、お客様からのフィードバックを元に、今回のようなアップデートを行っています。

VAddy Adventカレンダー24日目の記事です。 @vaddynet の中の人、西野です。趣味はドラムとバイクです。

クリスマスイブですね。 もはやクリスマスにワクワクもガッカリもしなくなってしまいましたが、きっとこんな日はブログを見てくれる人もいないと思うので、今回はゆるく今年のVAddyの総括をしたいと思います。

機能追加

今年は以下のような機能追加を行いました。 主にVAddyミートアップやサポートチャットでいただいた要望を反映させたものです。

2016/3/2 WebAPI経由で過去のクロールを使った脆弱性検査が可能に。Jenkinsプラグインも対応

2016/3/23 クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能になりました。

2016/4/25 Jenkinsからクロールのラベルを利用した脆弱性検査が可能になりました

2016/5/10 脆弱性を発見した際のレスポンスデータ表示機能を追加。XSSは該当箇所をハイライトされます。

2016/8/04 検査対象サーバの所有者確認でエラーがあった場合に、レスポンスコードとメッセージを表示するようにしました

2016/9/23 どのような環境からでも簡単にVAddyの脆弱性検査が実行できるコマンドツールgo-vaddyをリリース(Mac,Linux,Windows対応）

2016/10/17 クロールデータの閲覧機能をリリースしました！ テストシナリオの振返りに便利

2017年は冒頭に少し大きめの機能追加を予定していますので、乞うご期待！

VAddyユーザーミートアップ

2015年から継続しているVAddyミートアップですが、今年はユーザー企業様をゲストにお招きして開催しました。

今年は東京でしか開催できなかったので、来年こそは福岡、名古屋、大阪など東京以外の都市でも開催したい所存です。

2016/2/16 ユーザーミートアップ Vol.1　（ゲスト：ヌーラボ様）

2016/4/20 ユーザーミートアップ Vol.2　（ゲスト：ヴェルク様）

2016/6/13 ユーザーミートアップ Vol.3　（ゲスト：マネーフォワード様）

2016/11/30 ユーザーミートアップ Vol.4　（ゲスト：エクスジェン・ネットワークス様／IDCフロンティア様）

イベント出展

去年に引き続き、いくつかのイベントに出展／登壇させていただきました。

2016/1/21-24 SCALE14x アメリカはLAで開催されたLinux/OSS系のイベントにスポンサーとして出展しました。 出展レポート

2016/2/27 OWASP DAY 2016 Spring 福岡会場 「DevOpsSec 開発現場のための継続的Webセキュリティテスト」というタイトルで発表いたしました。 2016/7/3 YAPC::ASIA Hachioji 「セキュリティテストサービスを開発運営してきた2年間」

2016/8/24 エンジニア向けサービスを支える技術 2nd VAddyについて発表いたしました。

2016/11/3 PHPカンファレンス2016 東京の蒲田で開催されたPHPカンファレンス2016にスポンサーとして出展しました。

2016/11/16-18 MeetTaipei＆Cacooup 台北で開催されたスタートアップ系のイベント「MeetTaipei」にブースを出展しました。また、その前日に開催されたCacooupではユーザー企業としてCacooの利用事例をお話させていただきました。 出展レポート

2016/12/15 はじめてのセキュリティテスト with VAddy IDCフロンティア様と共催でVAddyもくもく会を開催しました。

呼んでやってもいいぞ、というイベントがあればご一報を♪

その他のトピックス

秋に製品版のリリースから１年を迎えたこともあり、ビジネス面でもいくつかのトピックスがありました。

2016/7/19 APNテクニカルパートナー Amazon Web ServicesのPartner Networkにテクニカルパートナーとして登録されました。

2016/10/20 1000ユーザー突破 世界58ヶ国で利用頂いています。

2016/11/24 IDCフロンティアと業務提携 IDCFクラウドユーザーはシングルサインオンでVAddyを利用頂けるようになりました。 今年のブログ更新はこれが最後になると思います。 みなさま来年もどうぞよろしくお願いします。