VAddyは「継続的な脆弱性診断を実現するツール」として誕生しました。
リリースサイクルが年々短くなっていくSaaSサービスでは、定期的な脆弱性診断に加えて継続的な脆弱性診断の要求が高まっており、そうした分野で特にVAddyが利用されています。
そこで本記事ではSaaS型サービス事業者様のVAddyの利用例をご紹介します。
クラウド型サービス事業者でのVAddy利用のキモは自動化
まずはじめに、まだVAddyの基本動作をご存じない方はこちらの記事も合わせてご覧ください。
関連記事:脆弱性診断ツール「VAddy」を使った脆弱性診断のはじめ方
https://vaddy.net/ja/howtouse_vaddy.html
VAddyデモ動画:4分でわかる!VAddyを使った脆弱性診断のはじめ方
https://youtu.be/wFFHn2xaizA
VAddy動作は大きく分けて「1. サーバー登録」「2. クロール(テストシナリオ作成)」「3. スキャン」の3つに分解できますが、ここでもっとも重要なのが「2. クロール(テストシナリオ作成)」です。
VAddyで事前に診断したい箇所をVAddyサーバーにテストシナリオとして登録させる必要があり、その作業のことを「クロール」と呼びます。Proxy設定を変更したブラウザ(OS)でWebアプリケーションを操作すると、その操作を中継するVAddyプロキシサーバーがURLやパラメーターを記録し、自動的にクロール(テストシナリオ)を作成します。
リリース前の一度限りの診断であれば、ブラウザでの動作確認試験のついでに手動でクロールを作成してもそれほどの負荷にはなりませんが、それを頻繁に機能が変更になるSaaSサービス事業者が毎回手動でクロールするのはかなりの負荷になります。
そこで、VAddyを利用しているSaaS型サービス事業者様の多くは、テスティングフレームワークやEtoEテストツールなどを利用してクロールデータの作成を自動化しています。お客様ごとに様々なやり方で実現されていますので、下記の記事を参考に自社で最適な方法をお試しください。
VAddyを使って脆弱性診断を自動化する:ペパボデックブログ
https://tech.pepabo.com/2019/12/16/vaddy/
VAddyとSeleniumを使ってRedmineの脆弱性チェックを自動化:ファーエンドテクノロジー コーポレートブログ
https://www.farend.co.jp/blog/2020/07/vulnerability-automatic-check/
VAddyの導入でEnd to Endテストの価値が上がった:EC-CUBE VAddy導入事例
https://vaddy.net/ja/testimonials/ec-cube.html
手動脆弱性診断との組み合わせでアプリケーションを常に安全な状態に保つ
SaaS型サービス事業者は何らかの形で脆弱性診断を実施していると思いますが、その多くは外部業者を使った定期的な手動脆弱性診断では無いでしょうか?近年では脆弱性診断の内製化の流れとともに診断の頻度を上げていく試みも増えてきたようですが、まだまだ年に一回、半年に一回の外部診断が主流かと思います。(数年に一回という話も耳にしますが・・・)
その場合、そのWebアプリケーションが最もセキュアなのは脆弱性診断の直後だけで、時間の経過とともに安全度は低下していきます。なぜなら、脆弱性診断の実施後に追加/改修された機能は脆弱性診断が実施されないままリリースされていくからです。
そうしたシーンでもVAddyが活躍します。
VAddyはサブスクリプションモデルを採用しているSaaS型サービスです。何度診断を実施しても料金は変わりません。また、ブラウザ操作ができる程度のITリテラシーをお持ちの方であれば誰でも操作することができます。
そのため、次回の手動脆弱性診断までにリリースされるいかなる機能についても、開発のリズムを崩すこと無く全てVAddyで診断してからリリースすることができます。
手動脆弱性診断とVAddyによるツール診断を上手く組み合わせることで、リリースサイクルが短いSaaS型サービスでもアプリケーションを常にセキュアに保つことができます。