Comments
Description
Transcript
VAddy(バディ)
継続的Webセキュリティテストサービス VAddy(バディ) ~サービス説明資料~ 1 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy VAddyとは? 2 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy Webアプリケーションの脆弱性診断をセキュリティの専門知識がなくても 継続的に実施することができるクラウド型のサービスです。 3 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy これまで開発の最終工程で実施されていたWebアプリケーションの脆弱性診断が 開発の全ての工程で自動的に何度でも実施できるようになります。 Before After 開発チーム 開発チーム コーディング コーディング 単体テスト 単体テスト 脆弱性診断 結合テスト 脆弱性診断 結合テスト 外部の診断会社 社内の専門チーム 脆弱性診断 リリース 開発チーム 修正 リリース 4 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy セキュリティテストの現状と課題 5 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy セキュリティテストが実施されない理由 費用 専門の診断会社による検査は高価。 あらかじめ予算が確保されたプロジェクト以外では脆弱性診断を受けられない。 スピード 一般的にセキュリティテストは開発の最終工程で実施されるので、脆弱性が発見さ れた場合の手戻りが大きく、製品のリリーススケジュールに影響を与えがち スキル 開発とセキュリティの両方のスキルを持つエンジニアが不足しており、既存の脆弱 性検査ツールを使いこなしているケースは稀である。 6 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy VAddyが解決します 費用 スピード スキル VAddyは完全定額性。 毎月の固定料金で何度でもスキャン(テスト)できます。 CIツールと連携し、セキュリティを完全自動化します。 自動的にテストが実行されるので、通常の開発リズムを妨げること無く、開発の初 期段階からリリース後まで何度でもセキュリティテストが実施できます。 VAddyの導入にセキュリティの専門知識は必要ありません。 VAddyを使いながら開発を行うことで、セキュリティ知識の向上も期待できます。 7 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy VAddyの特徴 8 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy インストール不要 VAddyはクラウド型のセキュリティテストサービスです。 ご用意いただくのはインターネットからアクセスできる テスト環境だけ。 簡単なアプリケーションであれば、お申込から約10分 でセキュリティ診断を開始できます。 9 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 特別なセキュリティ知識は不要 VAddyの利用に複雑な設定は必要ありません。 通常のブラウザテストと同じ流れで脆弱性検査 ができるので、受入検査を行う発注者さんや Webディレクターさんにもご利用いただけます。 10 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 必要な箇所だけをスピーディーに検査 VAddyでは検査するパラメータを事前に登録する ため、予期せず他のページ/アプリケーションを 検索することはありません。 そのため、大規模なWebアプリケーションであって Scan も、機能追加/改修した箇所のみをスピーディー に検査できます。 11 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 全ての開発言語/フレームワークに対応 VAddyはDynamic Security Application Testing(DAST)と呼ばれる検査方法を採用して います。お客様のテスト環境のWebサーバに 対して、HTTPリクエストを実際に送信し、受け 取ったレスポンスデータを検証して脆弱性の有 無を判断しています。 そのためソースコード解析型の検査ツールと and so on… は異なり、ソースコードを開示する必要はなく、 どんな言語やフレームワークが使われている Webアプリケーションも検査可能です。 12 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy CIツールとの連携による脆弱性検査の自動化 CI 通常のCIサイクルに 組み込むだけ! Jenkinsを始めとするCIツールと連携も可能です。 一度CIサイクルに組み込んでしまえば、VAddy 単体テスト カバレッジ測定 静的解析 GUIテスト Etc… の存在を意識すること無く、脆弱性検査を自動 化できます。 セキュリティテスト and so on… Etc… 13 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 自社開発のスキャンエンジン VAddyの脆弱性検査エンジンは全て自社開発。 人工知能の技術を利用した検査エンジンが、お 客様のアプリケーションの動きを自動的に把握 して検査します。 14 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 長年のWAF運用で培われたノウハウ 2010年より国内SaaS型ウェブアプリケーション ファイアウォール(WAF)市場においてシェア No.1を連続して獲得している「Scutum※」の開 発/運用チームがVAddyの開発/運用を行っ ています。 長年のWAFの運用経験で培われた技術と知 見が投入されています。 ※株式会社ビットフォレストが開発を担当したクラウド型(SaaS型)WAFサービス https://www.scutum.jp/ 15 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 検査内容 16 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy VAddyでは以下の5種類の脆弱性を検査します。 • SQLインジェクション • XSS(クロスサイト・スクリプティング) • リモートファイルインクルージョン • コマンドインジェクション • ディレクトリトラバーサル 脆弱性が発見された! 17 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 検査の共通動作 お客様によって事前に登録されたクロール データ(お客様のWebアプリケーションのURL、 パラメータ情報)を元に検査リクエストを送信 します。 クロールした状態をそのまま再現して検査す るため、すべてのHTTPメソッドが検査対象で す(GET, POST, PUT, DELETEなど)。 APIサーバとしてJSON形式のデータが送信さ れる場合はJSONの中のパラメータを検査デー タに変更して送信します。 18 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 料金プラン 19 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 月額固定料金でご提供しています。 Free Standard Professional スキャン回数無制限 ✓ ✓ ✓ SQLインジェクション検査 ✓ ✓ ✓ XSS検査 ✓ ✓ ✓ RFI検査 ✓ ✓ コマンドインジェクション検査 ✓ ✓ ディレクトリトラバーサル検査 ✓ ✓ Jenkins/CircleCI連携 ✓ ✓ ✓ WebAPI利用 ✓ ✓ ✓ 5ユーザー/FQDN 50ユーザー/FQDN 5分 1時間 3時間 スキャン速度 Normal Fast Very Fast スキャン履歴 過去1ヶ月分 過去1年分 過去3年分 3FQDN 3FQDN 3FQDN ✓ ✓ $30/FQDN $90/FQDN $100 $300 チーム利用 スキャン上限時間 スキャン対象サーバ数 FQDN追加(オプション) FQDN追加 (税込月額料金) $0 月額料金(税込) 20 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy サポート 21 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy VAddyミートアップ VAddy個別相談会 毎週木曜日にビットフォレスト事務所にて各枠1社 限定の個別相談会を実施しています。 遠方の方にはSkype等を利用したオンライン相談会 を随時開催しています。 VAddyユーザー間の交流やノウハウ の共有を目的としたイベントを、毎回 ゲストスピーカーをお招きして開催し ています。 隔月開催(都内/福岡ほか) 22 チャットサポート VAddyのコンソール画面から いつでもチャットでお問い合わ せいただけます。 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 導入企業例 23 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 2000 1500 1000 500 日本 24 2017年1月 2016年10月 2016年7月 2016年4月 2016年1月 2015年10月 2015年7月 2015年4月 2015年1月 0 2017年1月現在 日本国内:770 / 海外:880 合計1650アカウント 海外 Copyright (c) Bitforest Co., Ltd. 継続的Webセキュリティテストサービス VAddy 本資料についてのお問い合わせ 株式会社ビットフォレスト VAddy事業部 市川/西野 03-‐5361-‐2081 [email protected] VAddy http://vaddy.net/ja/ VAddy技術ブログ http://blog-‐ja.vaddy.net/ Twitter https://twitter.com/vaddynet 25 Copyright (c) Bitforest Co., Ltd.