VAddy

English
ログイン

ユーザー事例 エクスジェン・ネットワークス株式会社様

エクスジェン・ネットワークス株式会社 左:橋本敏様 右:野村健太郎様
左:橋本敏氏 右:野村健太郎氏

セキュリティテストを日々の開発の中の「タスク」にまで落とし込むことができた

ID情報統合管理ツール「LDAP Manager」を15年に渡って提供しているID管理専業ベンダー「エクスジェン・ネットワークス株式会社」。新たにSaaS型の製品をリリースするにあたりVAddyを導入いただきました。セキュリティ対策が最重要課題の一つであるID管理製品においてどのようなセキュリティ対策をされているのか、開発エンジニアの橋本氏と野村氏にお話をうかがいました。

エクスジェン・ネットワークス株式会社とは

弊社は2000年の創業以来、LDAP ManagerというID情報統合管理製品に特化して事業を行ってきました。LDAP Managerはオンプレミス環境に構築する製品で、Active Directoryや社内のLDAP、社内から使うクラウド製品を管理の対象としています。近年ではIDaaS(Identity as a Service)と呼ばれるようにID管理のソフトウェア自体をクラウド化しようという流れがあるため、弊社もLDAP Managerのクラウド版という位置付けで、Exticという製品を2016年にリリースしました。現時点ではExticは文教分野向けに提供していて、主に大学でご利用いただいています。

SaaS製品のリリースサイクルとセキュリティテストの両立

弊社が扱っている製品はID管理という性質上、セキュリティ対策は最重要課題の一つです。
パッケージ製品であるLDAP Managerは公的機関や大企業がお客様の場合も多く、「第三者機関によるセキュリティ検査が実施されていること」が調達の条件に記載されていたり、IPAの「安全なウェブサイトの作り方」に準拠して開発されたかを聞かれることもあります。LDAP Managerは新しい機能を実装した際に外部の診断会社に依頼してセキュリティ診断を行っています。

一方SaaS製品であるExticはお客様からセキュリティ対策について厳しく聞かれることは多くありませんが、セキュリティ対策を疎かにすることはできません。多い時で月に一回程度のリリースが発生するSaaS型サービスではLDAP Managerのように機能追加のたびに診断会社に依頼するのは現実的ではありません。Exticのリリースサイクルとセキュリティ対策との両立を考えていた時に、SaaS型で脆弱性検査サービスを提供しているVAddyと出会いました。

Standardプランだと$100で3FQDN使えるので、1FQDNあたり1プロダクトと考えると、1プロダクトあたりの費用は4000円弱(2017/2現在のレート)です。一般的なSaaSサービスがユーザー単位で課金されることを考えると、安い部類に入るのでは無いでしょうか。

VAddyの利用で苦労したこと

エクスジェン・ネットワークス株式会社 野村健太郎様VAddyの管理画面はシンプルで見やすく、仕組みも分かりやすかったと思います。ただ、一番最初のテストを通すのに苦労しましたね。自分たちではきちんと検査したつもりだったのですが、スキャンの時にWebアプリケーションのセッションが維持されず、ログイン画面以外の検査ができていないということがありました。

VAddyの検査結果画面では「脆弱性なし」と表示されたのですが、検査したサーバーのアクセスログを見るとログイン画面以外は全く検査されていなかった。スキャン時にセッションが維持されない問題はWebアプリケーション側の問題かとも思ったのですが、サポートに問い合わせたところ一週間程度で対応していただけました。

ただ、個人的には脆弱性検査ツールにWebアプリケーションの挙動の正しい理解を求めるのはどうかなと思います。それを求めてしまうとWebアプリケーションの機能テストツールになってしまいますので。利用者が検査対象サーバーのアクセスログを確認してトラブルシューティングができるくらいでないと、こうした自動検査ツールは使いこなせないと思います。

自動検査ツールと手動診断の使い分け

先ほどリリースサイクルの早いSaaS型製品で外部の診断会社を利用するのは現実的ではないと申し上げましたが、画面追加や新機能追加などの大きめなリリースの前には診断会社に依頼しています。やはりリリースの段階で「セキュリティ的に大丈夫」という状態まで持っていくには専門家の手を借りる必要があると思っています。

ただ、毎回そこで脆弱性が発見されて手戻りが発生するとスケジュールに大きく影響が出てしまいますので、デグレーションやコーディングミスで入り込んでしまった脆弱性を、VAddyを使って事前に潰しておくことが大切です。
開発者レベルで発見できる脆弱性についてはVAddyで日々修正し、複雑な攻撃手法で顕在化する脆弱性は専門家に見てもらうというような使い分けをしています。

VAddyの利用方法

現時点ではVAddyで検査対象にしているのはExticだけで、機能追加ごとに手動でクロールを作って検査を実行しています。Seleniumを使ってVAddyのクロールを作ろうとした時期もあったのですが、テストケースのメンテナンス工数の問題で今はやっていません。少人数で開発を行っていて機能数もそれほど多く無いので、手動でテストしたほうが早いという判断です。

いずれなんらかの形で自動化していきたいとは思っていますが、スキャンの頻度は一日一回程度で良いので、おそらくこの先もVAddyをCIに組み込んでビルドごとに検査するような使い方はしないと思います。

また、ゆくゆくはLDAP ManagerもVAddyで検査したいと思っています。LDAP ManagerにはWebインターフェイスもあるので、先に申し上げたデグレーションチェックにVAddyは効果的だと考えています。

VAddyを使って変わったこと

エクスジェン・ネットワークス株式会社 橋本敏氏VAddyを使うようになってからセキュリティテストに対する敷居が下がったと思います。それまでは自分たちでセキュリティテストをやろうとするとOWASP ZAP等で頑張るしかありませんでした。

OWASP ZAPは高機能なツールだとは思うのですが、何しろ動かすまでが大変です。その点VAddyは難しい設定が無いのですぐにスキャンまでたどり着くことができます。手軽に始められるという意味でセキュリティテストが身近になった印象ですね。

手軽にテストが実行できるので、セキュリティテスト(脆弱性検査)は小さい開発サイクルのなかでも実施できるものだと認識できたのも大きいと思います。

今まではセキュリティテスト(脆弱性検査)は大きい開発サイクルの中の最後に実施する一つの「イベント」だと考えていましたが、VAddyによってセキュリティテストを日々の開発の中の「タスク」にまで落とし込むことができました。

VAddyの今後に望むこと

使い始めに感じていた要望は実現されたので助かりました(笑)

それ以外には検査内容の高度化と実行がより手軽になることを望んでいます。
具体的には去年のVAddyミートアップでお聞きした「プライベートネットワーク対応版」です。
注)グローバルIPを持たないWebサーバー上のアプリケーションを検査できる機能

「プライベートネットワーク対応版」がリリースされると自分のPC上の仮想マシンで完結できるので、検査のためにAWSにインスタンスを用意したり検査の許可申請をする必要がなくなりますから。


エクスジェン・ネットワークス株式会社
設立:平成12年
代表取締役:江川淳一

本社:
〒101-0052 東京都千代田区神田小川町 1-11 千代田小川町クロスタ11F
TEL: 03-3518-8055 FAX:03-3518-8056
大阪事業所:
〒532-0003 大阪市淀川区宮原2-14-4 MF新大阪ビル5F
TEL: 06-6394-5411 FAX:06-6394-5412
ユーザー事例TOPに戻る