Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Jenkinsを使った継続的セキュリティテスト

5,714 views

Published on

Jenkinsユーザカンファレンス2015の発表資料。
継続的セキュリティテストの重要性、トレンドの話。
JenkinsとVAddyを組み合わせて継続的セキュリティテストをする話。

Published in: Technology
  • Be the first to comment

Jenkinsを使った継続的セキュリティテスト

  1. 1. Copyright  (c)    Bitforest  Co.,  Ltd.   Jenkinsを使った   継続的Webセキュリティテスト 2015/1/11 Jenkins Conf Tokyo 1 株式会社ビットフォレスト   市川
  2. 2. Copyright  (c)    Bitforest  Co.,  Ltd.   テストの普及 • 不具合の検出   • 再発防止   • リファクタリング・アップデート 2
  3. 3. Copyright  (c)    Bitforest  Co.,  Ltd.   忘れがちなテスト • セキュリティテスト   • 今回はWebの脆弱性検査の話   • パフォーマンステスト 3
  4. 4. Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテストの重要性 • 情報漏洩   • 改竄、マルウェアの配布   • 他サイトへのリスト型攻撃に悪用 4 損害賠償、2次被害など影響が大きい
  5. 5. Copyright  (c)    Bitforest  Co.,  Ltd.   5 セキュリティテスト   必須の時代に
  6. 6. Copyright  (c)    Bitforest  Co.,  Ltd.   現状の問題点 6 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
  7. 7. Copyright  (c)    Bitforest  Co.,  Ltd.   7 理想的には   開発初期から   リリース後まで
  8. 8. Copyright  (c)    Bitforest  Co.,  Ltd.   8 継続的な   セキュリティテスト   が必要
  9. 9. Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 9
  10. 10. Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 10
  11. 11. Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 11 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断
  12. 12. Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • 設定項目が多くノウハウを貯める必要   • 設定が不十分だと検査効果が少ない   • ノウハウを貯めながら運用し続けるのは 大変   • CIのフローに乗せるのが大変 12
  13. 13. Copyright  (c)    Bitforest  Co.,  Ltd.   13 継続的   セキュリティテストを   簡単に実現する   サービスが必要
  14. 14. Copyright  (c)    Bitforest  Co.,  Ltd.   14 継続的Webセキュリティテストサービス http://vaddy.net
  15. 15. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • ブラックボックスのWeb脆弱性診断   • CI連携を前提に設計   • セキュリティ検査エンジンを独自開発   • ユーザが行う設定作業を最小限にして、 簡単に導入できるようにするため   • 機械学習の機能を持ったエンジン   • JAVAで開発中 15
  16. 16. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • セキュリティエキスパートが開発・運用   • 国内No.1のSaaS型Webアプリケーションファ イアーウォール(WAF)  Scutumの開発運用を6年 行っているチームでVAddyを開発しています   • http://scutum.jp 16
  17. 17. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/1/11現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • じげん様のCIフローにVAddyを組み込んで頂 いています 17
  18. 18. Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 18
  19. 19. Copyright  (c)    Bitforest  Co.,  Ltd.   Jenkins VAddyプラグイン提供中 19 https://wiki.jenkins-­‐ci.org/display/JENKINS/VAddy+Plugin
  20. 20. Copyright  (c)    Bitforest  Co.,  Ltd.   HipChat通知 20
  21. 21. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのミッション 21 継続的   セキュリティテスト   文化の普及
  22. 22. Copyright  (c)    Bitforest  Co.,  Ltd.   22 継続的な   セキュリティテストで   安心してリリースすることが   今後のトレンドになる 最後に
  23. 23. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyミートアップ開催 • 参加費無料   • 2015/2/19(木)    19:00    新宿   • http://vaddy.doorkeeper.jp/events/19464   • 内容   • 最新セキュリティ情報   • VAddy説明、デモ、相談会   • 20:30から会場で懇親会(無料) 23
  24. 24. Copyright  (c)    Bitforest  Co.,  Ltd.   ご清聴ありがとうございました 24 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒)

×