これはVAddy Adventカレンダー1日目の記事です。
VAddyは、継続的なWeb脆弱性検査が簡単に実現できるSaaSです。
https://vaddy.net/ja
執筆している私はVAddyのプロダクトマネージャと開発をしている市川です。セキュリティ検査エンジンはCTOのkanatokoが開発していて、私はフロントの開発を主に担当しています。
広報や契約関係をしている西野の3人のチームで運営しています。ちなみに西野はVAddy公式Twitterアカウントの中の人です。
このタイトルは私が大好きなスコットランドのクラフトビールメーカBrewDogが何種類か出しているビールの名前をオマージュしています。
https://www.brewdog.com/lowdown/blog/hello-my-name-is-vladimir
2年ぐらい前に飲んだHello my name is Vladmirは最高に美味しいビールでした。特に許可もなくプーチンの似顔絵をラベルに貼るという最高にロックな、おっと話が長くなりそうなのでこのへんにしておきますね。
VAddyが行うセキュリティテスト
VAddyが行うWeb脆弱性検査はブラックボックステストです。
ブラックボックステストはHTTPサーバにHTTPリクエストを投げてレスポンスを見ながら検査します。
簡単に言うと例えば、GETのパラメーターが
/index.php?foo=bar
であれば、
/index.php?foo=bar'
のように、パラメータ値を検査値に変更して検査していきます。(実際はもっと複雑なことをしています)
この場合、ソースコードは見ないのでVAddyに対してソースコードを提供する必要はありませんし、言語やフレームワーク、ミドルウェアを限定せずにテストできます。
VAddyの特徴
VAddyの特徴は下記になります。
- ユーザフレンドリー
- API連携可能(CI連携可能)
- 低価格(フリーミアム)
- 検査が早い
JenkinsのようなCI(継続的インテグレーションツール)がなくても使えますが、VAddyはCI連携を前提として設計して検査エンジンも自前で作っています。
これは、世の中にはこの方針で作っている脆弱性検査ツールは存在せず、やりたいことを実現しようと思ったら作るしかなかったからです。
VAddyの重要な視点
重要視しているのは、既存のテストツールと同じようにCIと連携して使えて、かつ簡単に利用できる点です。
既存のセキュリティテストツールをCIと組み合わせて運用するのは可能ですが、セキュリティエンジニア以外の人がやる場合は大変な労力を伴い、実際のビジネスのスピードを落としかねないのです。
セキュリティの話になると100%を目指すあまり、導入や運用のハードルがとても高くなり、費用対効果を考えると導入が難しくなります。
それが必要なところもあるでしょうが、多くのWebアプリケーション開発現場ではセキュリティテストが実施されず、Web Application Firewallも導入されていない現状を考えると、80%ぐらいのレベルで良いので簡単に導入できて既存の開発フローに馴染むものを提供する方が、多くの人の心に届くと考えています。
さいごに
このAdventカレンダーを通して、我々の考え方、技術的な仕組み、海外カンファレンススポンサーなどの体験談を共有していけたらと考えています。
このAdventカレンダーはVAddyに関係することであれば誰でも参加可能ですので、VAddy触ってみたとか、VAddyの印象など書いていただける方がいれば是非お願いします。
あと24回ありますが、他の参加者がいない場合は全部俺になるので、ハラハラしながら1日目の記事を終わりたいと思います。
Let's VAddy!