こんにちは!今年度入社し、現在はVexの開発チームに所属している平賀です。

2020年10月20日に、『第2回 Vexユーザーカンファレンス』を開催しました。
新型コロナウイルス感染拡大防止のため、初のオンライン開催でしたが、なんと『前回』を超える120名以上の方にご参加いただきました!
今回のカンファレンスでは、Vexの最新情報やユーザー企業様の活用事例の紹介、そして日ごろからVexを操作しているユーザー様によるパネルディスカッションが行われました。本記事ではその模様をお伝えします。

進化をつづけるVexのこれから

Vex9.0の新機能「シナリオマップ」

Vex』は国内シェアNo.1のWebアプリケーション脆弱性検査ツールです。2007年のリリース以来、「脆弱性診断のためのプロツール」として、複雑なWebアプリケーションでも高い精度で脆弱性を検出できると好評をいただいてきました。一方、そのプロユースな印象から、使いこなしに不安を持たれる方も少なくありませんでした。そこで今回、初めて診断ツールに触れる方でも、直感的にお使いいただけるように開発したのが、「シナリオマップ」です。
2020年12月に予定されているVex 9.0へのメジャーバージョンアップでは、「シナリオマップ」が加わり、より検査設定がしやすくなります。シナリオマップは、Webアプリケーションの動作フローをひとつのマップの上にグラフィカルに再現します。複雑な検査が求められる場合にはマップ上から対象のノードを選択して、これまで同様の詳細な検査設定を作りこむことができます。
また、「Vexって覚える操作多くて使いにくそう」、「その分野に詳しくないと使えなさそう」といったハードルが高いイメージの払拭を目標として開発しています。

Vexの新機能「シナリオマップ」のイメージ図
シナリオマップは、既にVexを使いこなしている方にも便利な機能です。シナリオマップを利用すると視覚的に操作でき、使いやすくなった設定方法によって検査前の準備時間を大幅に短縮することができます。
シナリオマップの加わったVex 9.0のリリースにぜひご期待ください!

即戦力を証明するVex認定試験「Vex Certification Associate」

今年6月リリースの『Vex Certification Associate 』についてもご紹介しました。
「Vex Certification Associate」は、Vexに関する知識を体系的に学ぶ試験である『Vex Certification Entry』の上位レベルとなる試験で、知識に加えて実技も問われます。この資格によって、脆弱性診断を行うための知識や技術をもち、診断結果から適切にリスクを評価できる即戦力の技術者であることを証明できます。詳しくは、過去のブログ記事『即戦力を証明できる!セキュリティ診断技術者向け認定資格、「Vex Certification Associate」誕生!』をご覧ください。
余談ですが、私も先日「Vex Certification Entry」を受験し、合格することができました。
あくまで私の感想ですが、Vexの検査手法「自動巡回」、「画面遷移図」、「ハンドラ」のそれぞれの特徴と違いを理解しておくことで合格に一気に近づけると思います。

ユーザー様事例紹介

ユーザー様事例紹介では、Vexを採用した経緯やその後の運用事例について、2社のユーザー企業様に登壇いただきました。
今回登壇のユーザー企業様は、開発・運用されているWebアプリケーションのセキュリティ診断にVexを活用されています。Vexを採用した経緯として、以下のような理由を伺うことができました。

  • 静的解析ツールと比べて、実際に攻撃可能な脆弱性を効率よく発見できた。
  • 操作性が良く、検出した脆弱性の解説もわかりやすい。
  • 純国産であるため、導入後のサポートにも安心感がある。

数ある診断ツールから、Vexを採用いただけたことにとても嬉しく思いました!

続いて、Vexの運用事例について伺いました。Back view of businessman drawing sketch on wall
1社目のユーザー企業様には、社内に設置したセキュリティチームでVexを活用している事例を紹介いただきました。
一般に、セキュリティ診断は新規サービスのリリース前や運用中のサービスの改修や機能追加を行ったタイミングで実施されます。セキュリティ診断を社外に委託する企業もありますが、登壇いただいたユーザー企業様は社内にセキュリティチームを設置することで、開発や運用のチームと連携し、素早くセキュアなサービスを提供されています。

2社目のユーザー企業様には、サービスの開発チームでのVex活用事例をお話いただきました。近年、サービス開発の段階からセキュリティを組み込んでいくDevSecOpsの必要性が認識されるようになってきました。あまり知られていないかもしれませんが、VexにはVex-CLIというVexをコマンドラインから操作できる機能が備わっています。このユーザー企業様は、Vex-CLIをCIツールと組み合わせて自動的にセキュリティ診断が行われる仕組みを構築されましたが、脆弱性やサーバの設定不備などを早期に発見でき、スピード感をもったサービス開発ができるようになったとのことでした。

事例紹介を通じて、セキュリティ診断の専門家はもちろん、サービスの開発や運用を担当する方まで、幅広くVexが活用されていることを実感しました。私は、より多くのユーザー様に「Vexを選んでよかった!」と思ってもらえるような診断ツールを目指してVexの開発に取り組んでいきたいと思います。

Vexユーザー様によるパネルディスカッション

two colleagues interior designer discussing data and digital tablet and computer laptop with sample material and digital design diagram on wooden desk as concept長年Vexを利用しているユーザー様3名がご登壇。「Vex初心者がぶつかる壁と乗り越え方」、「診断時のトラブル事例とその対応」、「今後のVexへ期待する機能要望」の3つのテーマについてパネルディスカッションを行いました。それぞれのテーマで触れた内容について少し紹介します。

最初のテーマは「Vex初心者がぶつかる壁と乗り越え方」です。壁として真っ先に挙がったのは、やはり「ハンドラ検査の設定」でした。
ハンドラ(Handler)とは、複数のリクエストを組み合わせて、より複雑な構造のWebアプリケーションを検査するための機能です。 ハンドラの詳細については『Handlerガイド – VexFAQ』をご覧ください。
ハンドラは不慣れな間は扱うのが難しいかもしれません。私も上手くハンドラを設定することができず、まだまだ苦戦してしまいます。

この壁を乗り越えてきた登壇者の皆様は、時間をかけて慣れていき、様々な経験から蓄積したノウハウを「秘伝のたれ」のように社内で育てて共有しているそうです。

次のテーマ「診断時のトラブル事例とその対応」では、登壇者の皆様が遭遇した診断時のトラブルとその対応について伺いました。
私の印象に残ったのは、検査中にVexサーバの空きディスク容量が逼迫し、危うく検査が中断されそうになった事例です。
Vexは膨大な検査のログを全て保存しているため、いつの間にか空きディスク容量がなくなっていた、ということは少なくないようです。空きディスク容量の不足は気がつきにくいので、定期的にエクスポートしながら運用することがオススメとのこと。このようにルールを明確にしておけば、トラブルが発生する可能性を抑えることができます。一方、開発者としては、ユーザー様に意識いただかなくても異変に気づきやすく、操作がわかりやすいユーザーインターフェースを目指して努力しなければと思いました。

最後のテーマ「今後のVexへ期待する機能要望」では、たくさんの要望を挙げていただきました。

  • 検査結果のキーワード検索ができるような機能が欲しい
  • 取得したログをVex内で編集できるようにして欲しい
  • パスワードの世代管理を検査できるようなハンドラの後処理が欲しい
  • JavaScriptのようなクライアントサイドのテストも実施したい

などなど、私も「その機能があったら効率がよくなるな」、「任意の値でテスト送信できれば、手早く挙動を確認できるな」など共感したことが多くありました。
皆様のご期待に応えられるよう、私の所属する開発チームではVexをより使いやすくするために日々改善をしています。 また、Vexは約3ヶ月に一度、新しいバージョンのリリースを行っています。リリースのたびに使いやすくなったVexをご活用いただけると嬉しいです!

Vexクイズ大会「スミレちゃんに叱られる!」

Vexユーザーカンファレンスのクイズ大会で登場したスミレアバターのキャプチャ第2部ではVexにまつわるクイズ大会が行われました。
全10問が出題され、最後の問題ではVexのイメージキャラクターであるスミレちゃんが登場しました。
まさかの声付き!しかもスミレちゃんの声が高すぎて笑い出しそうになりました。

クイズは「Vex Certification Entry」の問題からもいくつか出題されていましたが、参加者の皆様は難なく正解しており、正答率はかなり高かったです!
私は1問間違えてしまいました…。
シンキングタイム中に答えがばれてしまうハプニングや、問題文に既に答えが表示されている、なんてことがありつつも無事に終了!正答率の高かった方の中から抽選で豪華賞品をお送りしました!
また、アンケートに回答していただいた方にはVex Tシャツなどのノベルティと「Vex Certification Associate」の再受験チケットをお送りしました!
スミレちゃんのステッカーは開催時期に合わせて、ハロウィン衣装を着ています。

Vexユーザーカンファレンスで配布したノベルティ

感想

私は3ヶ月ほどVexの開発業務に携わってきましたが、ユーザー様の声を直接聞くことや活用事例を知る機会はあまり多くなく、Vexユーザーカンファレンスを通してとても勉強になりました。
「こういう機能が欲しい」「ここがちょっと不便」、のようなユーザー視点のご意見は、Vexの開発を行っているだけではなかなか気がつきません。なので、ユーザーの皆様の声を大切にし、ユーザー視点に立った開発ができるように尽力していこうと思います!

終わりに

第2回Vexユーザーカンファレンスにご参加くださった皆様、本当にありがとうございました。また、ユーザー事例にてご協力いただいた2社のユーザー企業様、パネルディスカッションにてご協力いただいた3名のユーザー様には、お忙しい中ご登壇を快諾していただきましたこと心より御礼申し上げます。

ユービーセキュアは、ゼロからのセキュリティ診断チーム立ち上げやセキュリティ人材育成などの内製化をサポートしています。内製化をお考えの方や興味がある方、まずはお気軽にご相談ください。
詳しくは『セキュリティ診断内製化支援サービス』をご覧ください。

また、社内に知見がなく、時間もかけられない皆様にはVex操作のノウハウを習得できるトレーニングコースをおススメします。ハンズオン形式やeラーニング形式などのコースをご用意しています。
詳しくは『Vexのサポート』をご覧になるか、お気軽に弊社サポートまでお問合せください。

それでは、第3回ユーザーカンファレンスも是非お楽しみに!