従来の脆弱性検査だと数日から数週間かかっていたのが、VAddy導入後は脆弱性検査のスピードが上がりセキュリティ対策済みのサービスを早くリリースできます

リリース直前に行われる従来型の脆弱性検査が、年々短くなるWebアプリケーションのリリースサイクルのボトルネックとなってきています。特にWebサービスを提供している事業会社においては、月に何度も実施される新機能リリース/修正リリースごとに、外部の専門家による脆弱性診断を行うのは現実的ではありません。

また、セキュリティ人材不足が叫ばれる昨今では、社内にセキュリティ専門チームを確保している企業でも人員の確保が難しく、限られた人数で運用されているセキュリティ部門への負荷が高まる一方です。

そうした中、開発者自身で実施する脆弱性検査(脆弱性検査の内製化)の必要性が高まってきており、VAddyはそうした脆弱性検査の内製化を実現する唯一のツールです。

そして、開発の初期段階で脆弱性検査を実施することは、リリース直前の検査に比べて
修正コストを1/20に削減できるのです。

図:要求仕様誤りを「1」とした場合の修正コスト
総合テストでは200に対して単体テストでは10まで削減できます

出典 IPA『「コストモデル」を使った開発品質・生産性向上の取り組み』の試算をグラフ化

もっとも手軽で高速な脆弱性検査ツールVAddy

これまでの脆弱性検査ツールでは事前設定・検査実行・レビューの各段階で膨大な時間とスキルを必要としていました。VAddyで使われている人工知能の技術が、複雑な設定項目の省略に成功。
セキュリティ検査の経験がない開発者でも手軽に検査できます。
また、現実の脅威に対応した最低限の検査項目が高速な検査を実現しています。

開発者にVAddyをお勧めする理由

チューニングはVAddyのエンジンが自動で学習して行うため不要です。
開発現場のエンジニアにとって使いやすい設計で、自動化もできるため運用もしやすいのが特徴です。
検査項目が他のツールと比べて少なく見えますが、カバー範囲としては十分な上、検査時間も短くなるといった利点があります。

現実的な脅威に対応した検査項目

VAddyの検査項目は現実的な脅威となりうる5つに絞られています。
項目を絞ることで短縮された検査時間が、毎日の脆弱性検査の実現を可能にしています。

VAddyが検査を実行する5つの項目で
現実の攻撃の約87%をカバー

平均検査時間12分 項目を絞ることで時短を実現 お待たせしません!

CI連携や定期実行など、お客様の環境に合わせた自動検査環境の構築が可能

図では自動検査でVAddyがどう連携できるかを示しています。gitからGitHubやBitbucketへgitpushしたのをwebhookでJenkinsやcircleciやTravis CIを通じてVAddyで検査開始されテストサーバーに対して脆弱性検査を行います。またその結果をslackやHipchatに通知させることも可能です。
図:自動検査環境構築の例

VAddyは脆弱性検査の実行と結果の取得を自動化するコマンドツールをご用意しています。VAddyが提供しているWebAPIキーを利用して、CI(Continuous Integration)と連携した検査の自動実行や、シェルを利用した毎日の定期実行など、お客様の開発サイクルに合わせて検査環境を自由に構築することができます。