主な業務 ハンドメイドマーケット、レンタルサーバー、ネットショップ運営サービスなど個人向けインターネットサービスを提供 サービスの規模 ハンドメイドマーケット、オンラインショップ作成サービスは国内最大級 脆弱性検査での課題 多層防御の考え方のもと、開発に近い位置での脆弱性検査の必要性 GMOペパボ株式会社の前身となる有限会社paperboy&co.が設立されたのは2003年。当時すでにサービスを開始していた「ロリポップ！レンタルサーバー」は個人向けホスティング事業の草分け的存在。その後事業を拡大し、オンラインショップ作成サービス「カラーミーショップ」や、ハンドメイドマーケット「minne」、今ではオリジナルグッズ作成・販売サービス「SUZURI」など、数多くの個人向けインターネットサービスを提供している。それら全てのサービスに共通しているテーマは“個人にインターネットで表現の場を提供する”

Web脆弱性診断ツール「VAddy」TOP　＞ 株式会社ビットフォレスト（東京都千代田区　代表取締役 高尾都季一　以下、ビットフォレスト）が提供するクラウド型Webアプリケーション脆弱性検査サービス「VAddy」は、同社の基準を満たすオープンソースソフトウェア開発者向けにVAddy Professionalプランの無償提供を開始いたしました。 本取組の第一弾として、NPO法人ベーサー・ファウンデーションが支援している国産オープンソースCMS「baserCMS」に対して、VAddy Professionalプランの無償提供を行いました。すでにいくつかの脆弱性をVAddyが発見し、baserCMSのセキュリティ修正版リリースに貢献しています。 Webサイト構築の期間と予算を大幅に圧縮することができるオープンソースソフトウェア（以下、OSS）は、商用・非商用問わず現在のWebサイト構築には欠かせ

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。 既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。 ユーザからの要望として多く挙がっていたのが、イントラネット環境しかテストサーバがない、手元の開発マシンしかない、Travis, CircleCIのようなCI as a Serviceの環境でも検査したい、といったものでした。 これらを解決するために、今回PrivateNet版VAddyをリリースしました。 https://vaddy.net/ja/docs/private-index.html 本機能を開発してテストしている段階で、私の手元のMac上で動いているアプリケーション、VMwareのLinux環境で動いているアプリケーショ

最近kindleで「沈黙の艦隊」と「聲の形」という漫画を読み始めて止まらなくなりました。 VAddy Adventカレンダー1日目を勢いで書いてみたものの、これを25日まで続けるのは無理かもと思っていましたが、VAddyチームのメンバーの協力もあってなんとか完走しました。 さて、今日は最終日ですので私がこのプロジェクトを始めて一番感動した日を書きたいと思います。 はじまりの、はじまり ビットフォレストCTOの佐藤（金床さん）と会ったのは、私が大学時代にIRCチャットにずっといた1999年ごろでした。 彼は社会人でしたが、23時のテレホーダイタイムになると毎日入ってきて、いつも私の話し相手になってくれました。私がJavaで音声通話アプリを作った時は一緒に使ってくれて、なんちゃってインターネット電話もしました。懐かしい。 お互いハンドルネームで呼び合う仲から、いつしか一緒に仕事をしていることに

VAddyは、継続的なWeb脆弱性診断が簡単に実現できるSaaSです。 昨日はVAddyの基本的な使い方を説明しました。 10分でWebアプリの脆弱性検査ができた！VAddyでWordPressをスキャンしてみる たった3ステップで脆弱性診断が手軽にでき、特別な知識が不要だと感じてもらえたら嬉しいです。 VAddyではWebAPIの提供やJenkinsプラグイン、 CLIツールなどCI連携ツールの提供もしていますので、簡単に継続的なセキュリティのチェックが行えます。 今日は昨日の記事でスキャンしたWordPressにクロスサイトスクリプティング（XSS）の脆弱性を入れて、同じようにVAddyで検査してみたいと思います。 WordPressにXSSの脆弱性をあえて入れる VAddyに登録した検査対象のページは、WordPressの検索フォーム画面でした。この画面にXSSが発生するようにしたい

About reserved postingIf you register a secret article by the day before the same day, it will be automatically published around 7:00 on the same day. About posting periodOnly articles submitted after November 1 of the year can be registered. (Secret articles can be registered anytime articles are posted.)

主な業務 動画配信系サービスの開発・運用／受託開発業務 サービスの規模 - 脆弱性検査での課題 「セキュリティ品質」を意識されるお客様に対して、自社のセキュリティ対策では訴求力が弱かった。 福岡で動画配信技術を中心とした自社サービスの開発と受託開発業務を行っている、グルー株式会社　代表取締役 迫田氏にVAddy導入の経緯とその効果を伺いました。 グルー株式会社とは フリーランスエンジニアとして受託開発を中心に約8年間活動した後、自社サービスの提供を目的に、2011年に法人化しました。現在は自社サービスと受託開発業務を並行して行っています。動画配信系のサービス（Gemediar、1meeting）の開発／運用で培った知見が受託開発にも活かされています。自社サービスは社内のエンジニア2人で開発していますが、受託開発業務は外部のパートナー様に協力いただきながら行っています。 自分たちだけではセキ

前回のミートアップに引き続き、2016年4月20日（水）にコワーキングスペース茅場町 Co-EdoにてVAddyユーザーミートアップ Vol.2を開催しました。 ゲストをお招きして開催している今年のVAddyミートアップ、今回はクラウド型業務サービス「board」を開発／運営しているヴェルク株式会社の田向様をお迎えしました。 この日は様々な勉強会が都内各所で開催されていたにもかかわらず、20名近くのお客様に参加いただきました。 セッションの様子 ビールでお馴染みのVAddyミートアップですが、最近はセッションの最初からビールが出るようになりました^^　ビール片手にリラックスした勉強会というのもいいですよね？　もちろんノンアルコールドリンクもございます。 「DevOpsSecのトレンド」 VAddy プロダクトマネージャー　市川 DevOps+セキュリティの世界的なトレンドや、前回ミートアッ

本記事はDevOps.comに掲載された記事を許可を得て日本語訳したものです。 “This post was originally published on the DevOps.com.” DevOpsを採用する組織はもっとセキュリティに注意を払うべきであると、Threat Inteligenceの創設者Ty Millerは提案しています。 「ここ5年ぐらいのAnonymousやLulzSecのようなハッカー集団の活動をきっかけに、ITセキュリティに対する主要なアプローチは変化してきており、アプリケーションのライフサイクルへの統合が強くなってきました。」Ty Miller氏 開発の初期段階でセキュリティに注意が払われなければ、リリースまでに設計や開発の手戻りがおこる可能性が高くなります。それは最初からセキュリティが考慮された場合に比べて100倍ものコストがかかることもあります。 そもそも

本記事はGoCDブログに掲載された記事を日本語訳したものです。 “This post was originally published on the GoCD blog.” この記事は「 It’s not Continuous Delivery if you can’t deploy right now」というシリーズの第二弾です。 今回はセキュリティテストのパイプラインでより一般的なツールをいくつか取り上げようと思います。 私の経験では、自動化されたセキュリティテストがCD（Continuous Delivery）パイプライン上に組み込まれているのをほとんど見たことがありません。 開発者が自信を持って製品をリリースできるようにすることがパイプラインの役割だとするならば、製品のセキュリティについても自信を持てるようなるべきです。全てを取り上げることはできませんが、セキュリティテストの自動化

VAddyでは脆弱性検査を行う際に、ユーザが作成したクロールデータを使います。 クロールデータとは、検査対象のURLやパラメータを記録したもので、VAddyではクロールデータを元に機械学習を使ったスキャナーがサイトの構成を把握し検査を行います。 これまでWeb画面からのスキャン開始操作に限り、過去のクロールデータを選択し検査できるようにしていました。 「過去のクロールデータを使った脆弱性検査が可能になりました」 今回、WebAPI経由での過去クロールデータの指定をした検査が可能になりました。同時に、Jenkinsプラグインもアップデートし、Jenkins経由からでも過去のクロールデータを指定したスキャンが可能になっています。 例えば、全てのパターンを網羅したクロールデータを作成しつつ、一部の画面だけの検査のクロールを作成し、JenkinsなどのCI経由では全てのパターンの検査を、Web画面

私は試したことがないが、脆弱性診断というサービスがあるらしい。それを受けると数十万かかり、また結果を受け取るのに１週間ほどかかるらしい。 とてもではないが、一般では簡単には手を出すことができないサービスであることはわかる。 だがしかし、最近勉強会で知ったのだが、「vaddy」というサービスを教えてもらった。 vaddyってなに？ こちらです。 vaddy.net 脆弱性診断がなんと無料で診断してもらえる。さらにJenkinsなんかのCIに組みこむこともできる。 ただ、すべてを診断してもらうには有料プランにアップグレードしなければいけないが、XSSとSQLインジェクションでも十分うれしいサービスだと思う。 せっかくなので、色々なサイトに試してみたが、特に脆弱性は確認できず(´・ω・`) いや、すごくいいことなんだけど。 で、とある案件にアサインしたときにPlayframeworkを使って開発

FuelPHP Advent Calendar 2015 の18日目を担当します @hmukaida です。よろしくお願い致します。 今回は、FuelPHP で開発している WebAPI を VAddy というクラウド型Web脆弱性検査ツールを使ってテストする話をしたいと思います。FuelPHP 部分は弱めかと思いますが、18日目が空いていたので参加させていただきました。 はじめに フレームワークを使った開発では、ユニットテストやE2Eテストを行うのはもはや日常になってきているかと思います。当然私達の現場でも実施しています。 特にセキュリティ対策としては、各種サーバでの対策もそうですが、フレームワーク独自の対策を施したり、IPAの安全なウェブサイトの作り方を読み込み実践したりと様々取り組んできました。 しかし、数あるAPIの様々なリクエストにどれくらいの脆弱性が潜んでいるのか不安でなりませ

VAddyの海外プロモーションの一環として、2015/11/16からワシントンD.C.で開催されたphp[world]2015にスポンサーとして参加してきました。サービスのプロモーションで海外カンファレンスへの参加を検討している方もいると思うので、この記事が参考になれば幸いです。 なぜphp[world]を選んだのか？ VAddyは全世界のWebアプリケーション開発者をターゲットにしています。 日本国内ではミートアップやカンファレンスなどでVAddyを直接説明して意見を伺う機会がありますが、海外だとなかなかそうもいきません。ソーシャル・ネットワークやメール等で拾える声はたかがしれています。 VAddyを始めてから痛感したのは、サービスの開始直後は足を使わないとどうにもならないこと、直接会って話をする／聞くことが一番の近道ということです。 そういう意味でアメリカのWebアプリケーション開発者

2015.10.03 SAT PHPカンファレンス2015 に初参加して来ました！！ 公式： http://phpcon.php.gr.jp/2015/ Twitterハッシュタグ： #phpcon2015 年に一度開かれるPHPの祭典…のようなもの？らしく、なんと参加登録2000人超え。 今年のテーマは 現在の勤め先の会社もスポンサーになっていたり、 前々日に「第94回 PHP勉強会＠東京〜PHPカンファレンス2015開催直前スペシャル〜」が開催されるなど ムードが高まっていく中… 当日！！ 盛大な寝坊と雑作業 諸事情により会場に着いたのが14:10頃という悲惨なスタートをかましました。 ごめんなさいごめんなさい… 以下、聴講しつつ取ったメモを記載。 聴講メモ凡例 タイトル 登壇者名 スライドや動画のURL メモ 背景色水色な部分は、個人的なコメント モダンなアーキテクチャのPHPベース

先週の土曜日に、PHPカンファレンス2015に午前の途中から参加してきた。 だいぶ遅くなったけど、参加して聞いた発表ごとの感想を自分なりに纏める。 岸田さん - Composerではじめるアプリケーション開発 資料 https://speakerdeck.com/player/6747f5a70f5444188f8db70b4492736a?# きいてみて 普段何気なく使用しているcomposerだが、未だまだ解っていない箇所が多いと感じた。 あと、途中から参加したため前席へ座りづらく後ろの席に座ってしまい、せっかくのライブコーディングが殆ど見えなかった。遅刻はよくない。 composer を使うとインストールが遅いのが悩みだったので、発表が終わったあとに岸田さんにcomposerのインストールを早くする方法が無いかお尋ねしたところ、資料のアップロード等でお忙しい中色々と教えていただきまし

※2017年9月12日追記 2017年9月12日に価格変更を行いました。 料金プラン改定のお知らせ 本記事に掲載されているFreeプランおよびStandardプランの新規申し込みは終了しております。 昨日、VAddy有料プランをリリースしました。 「クラウド型Web脆弱性検査ツール「VAddy」がチーム機能や検査項目を追加した2つの有料プランを開始」 これまで1年間は無料プランのみで運用しており、そのフィードバックや運用結果を元に有料プランを設計しました。 この記事では、有料プランに込めた思いや悩みを書いていきたいと思います。 無料プランはSQLインジェクションとXSSの検査が何度でも無料で実施でき、CI連携も可能です。 有料プランと無料プランの違いは大きく分けると、 ・検査項目の追加 ・長時間の検査時間にも対応 ・チーム機能 ・過去の検査結果の参照期間 になります。詳細はプレスリリース記

※1 クロスサイト・スクリプティング ※2 リモートファイルインクルージョン 今回の製品版／有料プランの開始にともない、「Try! VAddyキャンペーン」を実施します。 Try! VAddyキャンペーン概要 VAddyのスキャンを実行し、2015年8月1日より実施するアンケートに全てお答えいただいたユーザーは2015年11月30日までStandardプランを無料でご利用いただけます。 アンケートの回答をもってキャンペーンへの応募とさせていただきます。 アンケート実施期間：2015年8月1日〜2015年8月31日 VAddy事務局にてアンケートの回答とスキャンの実施記録が確認できたユーザーは2015年11月30日までStandardプランを無料でご利用いただけます。 無料期間終了後はFreeプランにダウングレードされますので、自動的に課金を開始することはありません。Standardプランを

CIツールと連携し、継続的なセキュリティテストを実現する「VAddy」 今年の4月に全世界版をリリースした、継続的Webセキュリティテストを実現する「VAddy（バディ）」。意識はしつつも後回しにされてしまいがちなセキュリティテストを、たった3つの導入ステップで開発フローに組み込み、自動化してくれます。 同サービスを提供するビットフォレストが、今年の9月より、VAddyの製品版および有料プランの提供を開始することを発表しました。VAddyは、昨年10月には日本語のベータ版、今年4月には英語版をリリース。CIツールと連携し、開発初期段階から継続的なWebセキュリティテストを実現してくれる利便性が買われ、今では国内外に500人を超えるWebアプリケーション開発者に利用されています。 無料版に加えて、月額100ドルの「Standard」と300ドル　の「Professional」の2つの有料版を