ベンチャーでナウくなりそうなセキュリティサービス

マネーフォワードでエンジニアをしています鈴木です。

前職でセキュリティ関係の仕事に携わっていた流れで、本日は私が個人的に注目しているセキュリティサービス・ツールを紹介しようと思います。
※ナウいはちょっと古い感じがしますが、ご容赦ください。

既存セキュリティ対策の課題

FinTech系ベンチャーがお預かりする利用者のデータは、プライベートな情報の塊です。

万が一にでも、そんな情報が漏れたら…と利用者が考えるのは当然の事です。そういった懸念を払拭するため、FinTech系ベンチャーの大きな課題の一つに、「適切な情報セキュリティ対策の実施」があります。

技術的な基本対策としては、適切な鍵長のSSLを実装する、データを暗号化して管理する、ペネトレーションテストをするなどがあり、恐らくどこの企業様でも当たり前のように実施されているでしょう。尚、弊社の取り組みについてはこちらやこちらをご参照ください。

しかしながら、新機能開発時に脆弱性が未解決のままリリースされる…といったことが無いとは言い切れません。
米国での話になりますが、実に7割の企業が脆弱なWebアプリを通じてハックされた、という調査結果もありますので、脆弱性は対応しておくに越したことはありません。

そういった未対応の脆弱性を残さないために、

開発者にセキュアコード・トレーニングをする開発完了後にペネトレーションテストを実施する

といった対策が推奨されてきました。

それでも、開発速度・コストなどの観点から我々ベンチャーにとって、時間とコストがかかるトレーニングや、手戻りコストが大きいペネトレーションテストは、必ずしも有効な対策とは言い切れません。

注目サービスの紹介

こういった課題に対するアプローチとして、セキュリティテストの概念をCIサイクル内に統合するアイディアがあります。

出典: http://blog.sei.cmu.edu/post.cfm/security-continuous-integration-338
それを形にしたサービスをご紹介させていただきます。

Vaddy

出典: http://vaddy.net/ja/
CIサイクルの中にセキュリティテストを組み込むSaaS型クラウドサービスです。

Vaddyプロモーション動画

JenkinsやCircle CIなどのCIツールにVaddyプラグインをインストールしAPIを呼び出す(or 手動命令)ことで、コードがデプロイされたテストサーバに向けて、Vaddyの自動脆弱性スキャンをキックさせる模様です。現在は、SQLインジェクションやクロスサイトスクリプティング系の脆弱性が、主なスキャン対象となっております。

気になる料金体系ですが、現在は無料プランしかありません。有料サービスは今後リリースする予定だそうですが、無料プランでもスキャン回数は無制限となっております。CIサイクル内でのセキュリティテストなので、無制限である事は素晴らしいの一言です。

また、Vaddyのスキャンエンジン開発は、セキュリティ業界でも著名な金床さんであるので、今後の改良にも期待できます。

残念ながら、マネーフォワードでは自動CIサイクルを構築している最中で、Vaddyの検証は未実施となっております…。そのうち検証して報告させていただきたいと思います(絶対だぞ!)

XSecurity

こちらはXCodeのプラグインです。アプリケーションのセキュリティを高めるために組織されたThe Open Web Application Security Project (OWASP)のプロジェクトの一つとなります。

センシティブな情報を暗号化し忘れている可能性がある場合、SQLインジェクション、バッファオーバーフロー系脆弱性がある場合に、XCode内でリアルタイムな検知・通知をしてくれます。下記は、暗号化しないままデータを保存しようとした例になります。フローティングウィンドウに通知、ユティリティペインにセキュリティガイドが表示されていますね。

リアルタイムスキャンだけでなく、静的解析ツールも組み込まれているので、より細かいレベルでのスキャンもできる模様です。

まだα版で、日本語対応もされていませんが、なかなか面白そうなプラグインです。