継続的 セキュリティテストを 導入したい気持ち

自己紹介 ● Dueno @anoChick ● 株式会社 Speee 新卒3年目 中途 ● Webマーケティング事業部 以下略

セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので 　テスト頻度も上げていきたい うーん...

導入してみたいやつ ● Webアプリケーションの脆弱性検査ツール ● Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→

VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command Injection

VADDYの使いかた 1. 対象URLを登録（認証用の静的ファイルを置く） 2. 指定されたプロキシを挿してサイト内を回遊する （クロールパターンを教え込む） 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る

VADDY導入にあたって考える事 1. テスト環境の準備 　現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね！」とか書いてあった 　　Feature Spec流用できないかな。ローカルプロキシつかうとか 3. 実際の運用想定 CircleCIに差し込むと思うんだけど、待つの？ 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの？

Amazon Inspectorで評価されること ４つのルールパッケージ ・共通脆弱性（CVE） 　　　2016/08/17現在で 　　　CVE-2016-6635(2016/08/17に作られたもの) 　　　まで対応していた ・CISのOSセキュリティ設定ベンチマーク 　　http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス 　　　システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 　　　未使用の'listening'ポートや安全でないプロトコルの検知

Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 （推奨は１時間。それ未満だと検査が終わらない可能性有る）

進捗（導入事例） 作って発表したい To be continued...