継続的WEBセキュリティ診断サービス VAddy

ウェブアプリケーションの開発において、CI(Continuous Integration)のサイクルに、クロスサイトスクリプティングやSQLインジェクション等を早期に発見するための脆弱性診断も組み込まれるべきでは?というコンセプトで、新しいウェブサービスを開発しました。現在、アルファ版の詰めに入っている段階です。アルファ版を使ってくれるユーザさん(もちろんアルファ版の段階では無料)を探しています。

VAddy
http://vaddy.net/

Jenkins等のCIサーバ上でcommit毎にビルドやユニットテストが実行されるという文化は定着しつつあり、誰もがその良さを実感していると思います。

同じように、セキュリティ面でのテストもCIサーバが自動的に実行してくれれば便利ではないでしょうか。

VAddyはSaaS型のウェブアプリケーション脆弱性診断サービスです。基本的な使い方として、ユーザはまずウェブブラウザのプロキシ設定をVAddyのプロキシサーバのものに設定し、テスト環境にデプロイされた、ウェブアプリケーションの正常なフローを実施します。このときVAddyサーバ側に、これらのクロール時のデータが保存されます。(このクロールの作業は基本的に初回のみ必要となりますが、アプリケーションが改変された場合にはクロールをやり直す必要があります。SeleniumIDE等を利用されている場合には、単にFirefoxのプロキシの設定を変えてSeleniumIDEを一度実行するだけです)

次に、ユーザはJenkins等のCIサーバからAPIを呼び出すか、あるいはVAddyのウェブサイトから手動で、スキャンの実行を指示します。するとVAddyのサーバ上で稼働する脆弱性診断アプリケーションが、ユーザのテスト環境にデプロイされているウェブアプリケーションに対して、クロスサイトスクリプティングやSQLインジェクション等の脆弱性が無いかどうかを調べます。

VAddyはCIサイクルに組み込まれ、自動的に、毎日(場合によっては一日に何度でも)繰り返し実行されることを念頭に開発されています。
課金は月額定額の予定(無料プランも用意する予定)で、実行回数に制限は設けない予定です。


NSAがわざわざ直接CISCOのルータをいじる理由

NSAやCIAが本気なのであれば、CISCOを説得して、出荷前の工場の段階でトロイを入れればいいのでは?
という疑問がある。

ではなぜスノーデンがリークしたように、NSAはわざわざ自分たちの手でCISCOのルータをいじっていたのだろうか。
以下のような理由があるかもしれない。

  • もし「NSAのスパイ活動に協力している」という噂が立ってしまった場合、米国外でも大きな売上を持つ企業であるCISCOにとっては大きなダメージとなるだろう。そのため、CISCOがすんなり協力してくれるとは限らない。
  • 盗聴したいのはCISCOのルータだけでなく他のメーカー製のルータやサーバも含むので、CISCOだけ(NSAが時間的労力を割いて)協力を取り付けてもそれほど意味が無い
  • 仮にCISCOの全ルータにトロイを埋め込むことに成功した場合、全世界に出荷されたトロイからNSAのサーバにパケットがたくさん飛んでくるが、そのうちのほとんどはノイズであり、どれが監視対象(ターゲット)のものなのか区別するのが面倒くさい
  • また、上記の場合には、ネットワークトラフィックの異常などに気がついた、腕の良い、いわゆるホワイトハッカーに見つかってしまい、NSAとCISCOが何かをやっていることがパブリックにされる可能性がある
  • 元々、麻薬取引やテロリストの監視等の理由で、NSAやCIAは米国内外の空港や港などの場所においての活動を得意としている。そのため出荷されていく荷物(ルータ等)をインターセプトするのは得意中の得意。
  • 出荷される途中のルータは宛先がはっきりしている(例えば北京とか?)ので、先述した「ノイズ」という観点で考えた場合のS/N比がそこそこマシな値になることが期待できる
  • トロイがハードウェアの場合、工場で出荷されるルータ全部に付けるほどの量を用意するのが大変