2017年最初のVAddyユーザーミートアップをコワーキングスペース茅場町Co-Edoにて開催しました。
2015年から始めたVAddyミートアップも今年で3年目、通算11回目の開催となりました。
昨年はVAddyのユーザー企業様をゲストにお招きしてお送りしてきましたが、今年は「セキュリティ x Web開発」というテーマで開催していきます。
セッションの様子
VAddyのご紹介
株式会社ビットフォレスト
VAddyプロダクトマネージャー市川( @cakephper )
毎回行っているVAddy紹介のパートの今回の目玉は「VAddy for Private Network(仮称)」のご紹介。
VAddyはSaaS型でブラックボックステストを行うツールということもあり、これまではインターネットからアクセスできる(グローバルIPを持っている)Webサーバー上のアプリケーションしか検査できませんでした。
今回ご紹介した「VAddy for Private Network(仮称)」はそうしたグローバルIPを持っていないサーバー上のアプリケーションへの脆弱性検査を可能にします。
この機能によってローカルPCのVM上で動いているWebアプリケーションも検査できますので、本当の意味で「開発の初期段階からの脆弱性検査」が実現されます。
具体的なリリーススケジュールは未定ですが、夏前にはリリースできるのでは無いかと思います。
VAddyで人工知能はどう使われているのか
株式会社ビットフォレスト
CTO 佐藤(金床)( @kinyuka )
みんなだいすき「人工知能」。
VAddyでは検査対象のWebアプリケーションの挙動を把握するために人工知能の技術(ベイジアンネットワーク)が使われています。
例えば、CSRF対策トークンを含む画面の場合は、検査のたびにトークン有効期限が切れるのでリフレッシュする必要があります。その画面がCSRF対策トークンを含んでいるか、どのパラメータがトークンなのかを自動判定する必要があるためベイジアンネットワークと探索の技術を利用しています。
ベイジアンネットワーク自体は1980年代からある「枯れた」技術ではありますが、この技術は弊社が開発しているクラウド型WAF「Scutum」でも利用されています。「枯れた=実績のある」技術を現代のコンピュータ性能で利用することで、かなり良い結果が出る場合があるのです。
開発者のためのWebセキュリティ診断入門
株式会社セキュアスカイ・テクノロジー
はせがわようすけ様( @hasegawayosuke )
そして今回のゲスト枠には、弊社と家族同然のお付き合いをさせていただいているセキュアスカイ・テクノロジー(以下SST)からCTOのはせがわ様をお招きしました。
今ではScutumプロジェクトにおいて弊社と二人三脚でやらせていただいていますが、SSTさんはもともとは(今も)Web脆弱性診断会社です。
専門会社による脆弱性診断の具体的な内容を知らない開発者も多いと思うので、今回は「開発者のためのWebセキュリティ診断入門」というタイトルで、診断会社が実際にどんな手順で診断を行っているのかをお話いただく・・・はずでしたorz
はせがわ氏「やっぱりプレゼン変えま〜す。WAF作りました〜(笑顔)」
事前告知もなく発表内容を変えてきやがった!
ちなみにこのWAF、Web Application Firewallではございません。セキュアなWebアプリケーションに脆弱性を作り込むリバースプロキシです。誤植ではありませんよ、脆弱性を作り込むのです。
はせがわ氏はSST社内外のトレーニング用に脆弱なアプリケーションをいくつも作る必要があるそうですが、何度も脆弱なアプリケーションを作るのがめんどくさくなってしまい脆弱じゃないアプリケーションを脆弱にするツールを作ってしまったとのこと。
名付けてVurp(Vulnerability Reverse Proxy)
色んな意味で危険なプロダクトです。
ツールの説明をしながら喜々として安全なWebアプリケーションにXSSを作り込んでいくはせがわ氏、会場は大爆笑。
セッション終了後、はせがわ氏を問い詰めようとしたところ、
「金床さんの話が面白かったので、内容を変えちゃいました〜(笑顔)」
・・・これがインタープレイってやつですか、ジャズです。
ちなみに来場者アンケートでの評価は上々でした^^
懇親会の様子
恒例の懇親会。
今回はセキュリティ寄りの方が多く、初めて参加頂いた方が大半だった気がします。常連さんたちで盛り上がるのも良いですが、初めて参加した方々も楽しんでいただけたようで安心しました。
VAddyミートアップは製品PRイベントですが、コミュニティ系イベントのゆるさ(?)を適度に保ちながら今後も開催していきたいと思います。
