Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
2
運営会社
株式会社ビットフォレスト
「Webアプリケーションセキュリティサービスの開発・販売」
https://www.bitforest.jp/
業務内容
国内シェアNo.1 クラウド型Webアプリケーションファイアウォール「Scutum」の開発・運用
クラウド型Web脆弱性検査サービス「VAddy」の開発・運用・販売
沿革
2002年2月 有限会社ビットフォレストとして設立
2007年1月 株式会社ビットフォレストに商号変更
2009年6月 Scutum販売開始
2015年9月 VAddy販売開始
運営会社紹介
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
3
今もっとも手軽で高速な
ブラックボックス型Web脆弱性検査ツールです。
VAddyとは?
こんな場面でご利用いただいています。
• 開発途中で検査• 納品/リリース前に検査• 受け入れテスト時に検査• 毎日の定期検査
こんな方々にご利用いただいています。
• Webプログラマー• Webデザイナー• Webディレクター• 品質管理部門
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
4
これまでのWebアプリケーション脆弱性診断の課題
開発チーム
診断会社・社内チーム
コーディング
単体テスト
結合テスト
脆弱性診断
開発チーム
修正
リリース
通常、脆弱性診断は全ての開発工程が終了した後に、
外部の診断会社や社内のセキュリティ部門(品質管理部門)で実施されます。
費用の問題
外部の診断会社に依頼する場合の費用は一回検査で数十万円〜数百万円
したがって、小規模なプロジェクトで脆弱性診断を依頼するのは非現実的
自社で行う場合も既存の脆弱性検査ツールの費用は1ライセンスあたり100万円以上(年間)
隠れた費用として、開発工程の 後で実施することによる手戻りコストも見逃せません
工期の問題
外部の診断会社に依頼する場合の期間は数日〜数週間。特に診断の依頼が増える年末/年度末は依頼から着手まで長時間待たされることも。
既存の脆弱性検査ツールを利用する場合でも、ツールの設定〜検査〜検査結果の解析まで 低でも数日間は必要。
脆弱性が発見された場合の手戻りによる開発工程の遅れも大きな問題に。
スキルの問題
社内にセキュリティ部門が存在しない場合、高機能な既存の脆弱性検査ツールを使いこなすスキルを身につけるためには、メーカーが提供しているトレーニングプログラムを受けることが必須
同時に検査結果を適切に判断し、改修指示を出すためにも開発とセキュリティ両面のスキルが必須
これらの理由から、
SaaS型サービスでの機能追加や改修ごとの検査や、小規模プロジェクトでの脆弱性検査は事実上不可能
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
5
Webアプリケーション脆弱性検査を全ての人へ
開発の初期段階から何度でも。
費用やスケジュールを気にすること無く脆弱性検査を実施できます。
費用の問題
VAddyは完全月額固定料金性。ご契約期間中は何度検査を実施しても料金は変わりません。
初期費用無し、月額19,800円、低利用期間1ヶ月からご利
用いただけますので、試しに始めてみたいというお客様から、全社利用まで幅広いお客様にご利用いただいています。
工期の問題
Webサイトからのサインアップから 短10分で検査を開始できます。
平均検査時間12分という高速な検査が毎日の検査を実現しています。
また、開発の初期段階から継続的に検査を実施できるので、開発の 終工程で行う診断の結果が納品スケジュールに影響するということもございません。
スキルの問題
VAddyの利用に特別なトレーニングは必要ありません。普段インターネットに触れてい
る方であれば、誰でも簡単に使いこなすことができます。
全てのお客様がオンラインマニュアルとチャットサポートだけで脆弱性検査を開始されています。
VAddyは診断の対象とする脆弱性を絞り込むことで、高いスキルを要する診断結果の解析業務を無くしました。
もう脆弱性検査が「できない」理由はありません
コーディング
単体テスト
結合テスト
リリース
診断
診断
機能追加 診断
機能追加 診断
必要なタイミングで何度でも
Copyright (c) Bitforest Co., Ltd.
90%
10%
クラウド型Webアプリケーション脆弱性診断ツール VAddy
6
Webアプリケーション開発者しか対応できない脆弱性を効果的にカバー
ネットワーク
サーバー
OS
ミドルウェア
フレームワーク
Webアプリケーション VAddyの検査項目
• SQLインジェクション
• ブラインドSQLインジェクション*
• XSS(クロスサイト・スクリプティング)
• ディレクトリトラバーサル
• リモートファイルインクルージョン
• コマンドインジェクション
• 安全でないデシリアイゼーション*
• XXE*
• HTTPヘッダインジェクション*
*株式会社ビットフォレストが開発/運用を行っているクラウド型(SaaS型)WAFサービス
「Scutum」で2017年1月に観測された攻撃リクエストを元に作成
https://www.scutum.jp/
Scutumは2010年より国内SaaS型ウェブアプリケーションファイアウォール(WAF)市場において
売上シェアNo.1を連続して獲得しています。
開発者
対応
領域
適用
設定変更等
開発者以外
対応
領域
・SQLインジェクション
・ブラインドSQLインジェクション
・XSS(クロスサイト・スクリプティング)
・ディレクトリトラバーサル
・リモートファイルインクルージョン
・コマンドインジェクション
・安全でないデシリアイゼーション
・XXE
・HTTPヘッダインジェクション
を狙った攻撃*Enterpriseプランのみ
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
7
他社の脆弱性検査ツールとの比較
VAddy
AppScanVEX
Burp Suiteetc
検査速度 速 検査速度 遅
検査項目
少
検
査項目
多
利用者 利用シーン 学習コスト 検査時間 料金
VAddy 開発エンジニア開発時のデバッグ毎日の自動診断受け入れテスト
少 平均12分 19,800円/月〜
AppScan セキュリティエンジニア リリース前診断 大 数時間〜数日 約1,000,000円/年〜
VEX セキュリティエンジニア リリース前診断 大 数時間〜 約2,000,000円/年〜
他社の主要な脆弱性検査ツールは主にセキュリティエンジニア向けにデザインされているため、使いこなすためには高度なセキュリティテストの知識が必要です。
VAddyは開発者(プログラマー)向けに開発されているため、 低限の学習コストで手軽に脆弱性検査を実行できます。
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
8
検査できる環境、アプリケーション
✓ イントラネット内や開発PC上のアプリケーション
✓ フォーム認証(ログイン画面)を含むアプリケーション
✓ 複数のFQDNをまたぐアプリケーション
✓ REST APIサーバ
✓ URLパスに含まれるパラメータ
✓ CSRF対策トークンを含むアプリケーション
✓ VIEW_STATEを使ったアプリケーション(主に.net)
✓ SSL上のアプリケーション
検査例
例えば、検査したいURLが下記の場合
http://example.com/search.php?keyword1=foo&keyword2=bar
keyword1のデータ foo を検査用のデータに差し替えて検査対象サーバに送ります。そのレスポンスの状況を確認して、脆弱性の有無を判定します。
http://example.com/search.php?keyword1=foo&keyword2=bahttp://example.com/search.php?keyword1=foo<script>vaddy</script>&keyword2=bar...
keyword1の検査が完了した後に、同じようにkeyword2に対しても検査を実行します。
組織管理機能
共同利用するユーザーを一元管理することができます。自社社員の「誰がどのように」VAddyアカウントを利用しているかをひと目で把握できます。
Enterpriseプラン
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
9
CI連携や定期実行など、お客様の環境に合わせた自動検査環境の構築が可能
VAddyは脆弱性検査の実行と結果の取得を自動化するコマンドツールをご用意しています。
VAddyが提供しているWebAPIキーを利用して、CI(Continuous Integration)と連携した自動実行や、シェルを利
用した毎日の定期実行など、お客様の開発サイクルに合わせて検査環境を自由に構築することができます。
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
10
レポート
発見した脆弱性一覧脆弱性があったURL、パラメータ名、脆弱性の種別が表示されます。
リクエストデータ脆弱性を発見した際に送信した検査リクエストのデータが参照できます。お手元で問題の再現をする際に便利です。
レスポンスデータ脆弱性を発見した際に受信したレスポンスデータが参照できます。どのようなエラーだったのか、XSSの場合はhtmlのどの箇所がエスケープされていなかったのか確認できます。
全体の検査レポート脆弱性の発見の有無に関わらず、どのURLに検査したのか、問題があったURLはどこかをレポートで一覧表示します。全体の把握や、上長への報告などにご利用に便利です。
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
お客様の利用シーンに合わせたプランをご用意しています。
Starter
手軽に脆弱性診断を試したいなら
月額 6,000円
検査対象をSQLインジェクションとXSSに絞ったカジュアルなプラン。小規模なデザイン事務所などに 適
Professional
VAddyの基本機能が全て使える
月額 19,800円
攻撃の発生頻度が高い5つの脆弱性を効率的に検査。組織の規模や業種を問わず人気No.1のプラン
Enterprise
組織向けユーザー管理機能と検査内容を大幅強化
月額 59,800円
組織管理機能と幅広い検査項目を備えたプラン。アカウント管理が必要な大規模組織向けプラン。
Professional +
年額 598,000円
Enterprise +
年額 998,000円
VAddy基本プランに手動脆弱性診断がバンドルされたプランもご用意しております。
11
Copyright (c) Bitforest Co., Ltd.
Starter Professional Enterprise
検査項目 SQLインジェクション ✓ ✓ ✓
ブラインドSQLインジェクション ✓
XSS ✓ ✓ ✓
RFI ✓ ✓
コマンドインジェクション ✓ ✓
ディレクトリトラバーサル ✓ ✓
安全でないデシリアイゼーション ✓
XXE ✓
HTTPヘッダインジェクション ✓
チーム機能 チームメンバー 5ユーザー/FQDN 50ユーザー/FQDN 無制限/FQDN
組織管理 組織メンバー 30ユーザー
機能 スキャン回数 無制限 無制限 無制限
スキャン上限時間 30分/回 2時間/回 5時間/回
スキャン履歴 過去1年分 過去2年分 過去2年分
ローカル環境への検査 ✓ ✓
レポートダウンロード ✓ ✓
検査対象FQDN 3 3 3
料金 基本利用料 月額 ¥6,000 月額 ¥19,800年額 ¥198,000
月額 ¥59,800年額 ¥598,000
FQDN追加 月額 ¥2,000/FQDN 月額 ¥6,000/FQDN年額 ¥60,000/FQDN
月額 ¥10,000/FQDN年額 ¥100,000/FQDN
組織メンバー追加月額 ¥15,000/10ユーザー年額 ¥150,000/10ユーザー
お支払い方法 クレジットカードクレジットカード銀行振込
銀行振込
クラウド型Webアプリケーション脆弱性診断ツール VAddy
VAddy基本プラン
Copyright (c) Bitforest Co., Ltd.
Professional + Enterprise +
VAddy 年間ライセンス Professional Enterprise
診断チケット 20チケット 20チケット
料金 基本料金 年額 598,000円 年額 ¥998,000円
追加診断チケット 150,000円/10チケット 150,000円/10チケット
お支払い方法 銀行振込 銀行振込
クラウド型Webアプリケーション脆弱性診断ツール VAddy
手動脆弱性診断付きプラン
OWASP TOP 10 2017
A1:SQLインジェクション ✔
A2:認証の不備 ✔
A3:機密データの露出 ✔
A4:XML外部実態参照 ✔
A5:アクセス制御の不備 ✔
A6:セキュリティ設定のミス ✔
A7:クロスサイトスクリプティング ✔
A8:安全でないデシリアライゼーション ✔
A9:既知の脆弱性を持つコンポーネントの使用 ✔
A10:不十分なロギングとモニタリング ✔
VAddyの基本プラン(年間ライセンス)に、セキュリティ対策のエキスパート「SHIFT SECURITY」によるサポートが付いたプランです。
Professional + / Enterprise +プランに付属する診断チケットは、OWASP TOP10*に準拠した手動脆弱性診断の他、プラットフォーム診断、脆弱性対応サポートなど幅広い用途でご利用いただけます。
*OWASP TOP10米国のNPO団体、OWASP (Open Web Application Security Project ) が四年に一度発表している「 も重大なウェブアプリケーションリスクトップ10」
13
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
ご利用料金についての考え方
• 料金はアカウント(ユーザー)単位• アカウントごとにFQDN(サーバー)を3つまで同時登録可能• プロジェクトごとに50人以上*が無料で利用可能 *Professinalプラン以上• 組織メンバーは30人*まで登録可能 *Enterpriseプラン
利用例
Ownerプランを契約
www.example1.com www.example2.com www.example3.com
• Professionalプランを契約
• 3つのFQDN(example1.com〜example3.com)を登録
• 述べ10人で利用
ご利用料金合計 月額19,800円内訳:Professional(19,800円)※税抜価格
Ownerプランを契約
www.example1.com www.example2.comwww.example3.com
• Professionalプランを契約
• 4つのFQDN(example1.com〜example4.com)を登録
• example3.comとexample4.comは一つのプロジェクトとして登録
• 述べ14人で利用
www.example4.com
ご利用料金合計 月額25,800円内訳: Professional(19,800円)+FQDN追加(6,000円)※税抜価格
14
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
16
VAddy販売パートナー
VAddyでは継続して販売パートナープログラムへの参加を募集しております。販売代理店、取次代理店にご興味がある方は[email protected]までご連絡ください。
Copyright (c) Bitforest Co., Ltd.
クラウド型Webアプリケーション脆弱性診断ツール VAddy
17
株式会社ビットフォレストVAddy事業部市川/西野[email protected]
VAddyhttp://vaddy.net/ja/
VAddy技術ブログhttp://blog-ja.vaddy.net/
Twitterhttps://twitter.com/vaddynet
本資料についてのお問い合わせ