こんにちは!今年度入社し、Vex開発チームに所属している安達です。
2021年10月19日に、「第3回Vexユーザーカンファレンス」を開催しました。
昨年に引き続き新型コロナウイルス感染拡大防止のためオンライン開催でしたが、約90名の方に参加いただきました!
今回のカンファレンスは二部構成とし、第一部はVex関連の最新情報やVexユーザー様の活用事例の紹介、第二部はトークルームを3つに分け、興味のあるテーマに自由に参加いただく形式としました。本記事ではその模様をお伝えします。
【第一部】
Vex開発/エンハンス状況とこれから
まず最初に、ソフトウェアソリューション部長の松浦さんが「Vex開発/エンハンス状況とこれから」について紹介しました。直近の状況としては、2021年12月にVexバージョン9.4がリリース予定です。バージョン9.4では「検査結果のフィルタ・絞り込み機能」や、サポートアウトを迎えるIEのリプレイスとして「Edgeへの対応」、ポート競合でVexがインストールできないケース回避のための「postgresの利用ポート番号の変更(任意指定)」ができるようになります。また、メールヘッダインジェクションの仕様改善やautocomplete関連のシグネチャの修正も取り込まれます。
そして今後の開発の方向性ですが、コロナ禍においてVexユーザー様の多くがリモートワークに移行し、オンプレだけでなくクラウド環境でのVex構築が進んだことを背景に、ライセンスの追加や付け替え等のお問合せを多くいただきました。Webアプリの開発量やリリース頻度の増加もあり、より検査を早く、簡単にというニーズも高まっています。
バージョン9.5以降ではお客様からの要望を再整理し、Vex利用環境やセキュリティ動向の変化、いただいたご意見・ご要望に対ししっかり対応していきます。また、これまで以上に対応を加速するために、内部構造や体制改革を進めています。
Vexはより便利に、使いやすく進化していきますので今後ともよろしくお願いします。
新製品 komabato リリース
「komabato」は「開発工程に組み込みやすい」をコンセプトに開発された新しいDASTツールです。開発工程にセキュリティテストを組み込みたいというご要望に応え、誕生しました。Vexをかける前の開発工程で大きな主要な脆弱性を潰すことで、よりセキュリティの品質を高め、開発の手戻りを減らすことを目的としています。
現在Vex、komabatoの連携といったところも含め、2つの製品の開発、エンハンスを続けております!
進化を続けるVexとkomabatoのこれからにぜひご期待ください!
データからみる最新脆弱性傾向 2021
「データからみる最新脆弱性傾向 2021」では、Vexのシグネチャ開発を行っている髙畠さんが最近の脆弱性傾向について解説しました。
開発手法の変化に伴って改定されたOWASP TOP 10の紹介や、脆弱性の検出動向から考えられる開発現場の特徴についてお話しました。
昨今の開発現場では、デフォルトセキュアな開発ができるようになってきています。しかし、脆弱性の埋め込みが無くなるわけではなく、見つけるには網羅的に検査をすることが必要です。Vexやkomabatoを効率的に活用し、よりセキュアなアプリケーション開発につなげていただければと思います。
Vexユーザー様事例
ユーザー様事例紹介では、Vex採用の経緯やその後の運用事例について、2社のユーザー企業様から3名の方に登壇いただきました。
Vexを採用した経緯として、以下のようなお話を聞くことができました!
- 「一番いい診断ツールは何ですか?」とベンダーに聞いたらVexを紹介された
- 診断員として使いやすいツールである
- 開発者が読みやすい報告書を作成してくれる
1人目の方には、社内のセキュリティチームでのVex活用・運用方法をご紹介いただきました。社内のセキュリティチームにセキュリティ診断を任せることで、開発チームはサービスの開発に集中できるようになったとのことです。診断後にプロジェクトをエクスポートしノウハウを共有することで診断効率を向上させているとのことでした。
2人目の方には、新卒で入社してからVexを使いこなすまでの躓きや気づきをお話していただきました。操作に悩んだ時は、同期や先輩社員に聞いたりユーザーガイドを参照したりしているとのこと。また精査の判断や設定内容を社内で共有しノウハウを蓄積して担当者以外でも分かるようにしているそうです。
3人目の方には、社内の診断チームの立ち上げについてお話をしていただきました。
セキュリティに詳しい人が診断のスキルを修得し、そこから診断員にスキルトランスファーする流れでチームを立ち上げたとのこと。トランスファーする先は、Webアプリのエンジニアが理解が早く、一番近道とのことでした。
また、komabatoにも期待していて、今後使っていきたいともおっしゃっていただけました!
事例紹介を通じて、実際に業務でVexを使っている方々がどのような工夫をして活用しているのかを知ることができ、私としても非常に勉強になりました。
またVexの課題や改善点をたくさんお話いただけたので、開発チームに所属している私としては頑張っていかねばと感じました!
セキュリティコンサルタントによるVex活用術 -シナリオ作成からレポート出力までのコツ-
セキュリティコンサルタントの庄子さんが、Vexを使ったシナリオ作成からレポート出力までのコツを紹介しました。
Handlerを利用して、値の引き継ぎ設定など行う際の設定のコツや結果の精査、またレポート出力に手動の結果を反映させる手法など、現場での業務に役立つお話を聞くことができました。
Handlerや引き継ぎの設定は私も苦戦したところです。
私は現在Vexの基本的な知識や機能の理解度を認定する試験であるVex Certification Entryを勉強中なので、現場で使われている設定方法やコツを聞くことができて非常に勉強になりました!
創設者が語る VCA創設の想いと効果
昨年6月にリリースした「Vex Certification Associate」の創設メンバーの一人である木下さんが、創設の想いと効果について紹介しました。
「Vex Certification Associate」は、「”実”力主義の認定制度 使える資格」ということを軸にこだわりぬいて作成されました。資格の取得が実力に直結する「”実”力主義」、資格の取得がその人のスキルを表すだけでなく実務に活きていく「"実"務直結」、知識のインプットだけではなく実力につなげるため手を動かす「"実"技試験」の3つを軸としています。
また、「認定取得は一つの結果でしかない」ということにもこだわっています。認定資格を取るまでの過程で、実務に活かせる技術スキルが身につく認定制度を目指しています。
VCA合格者からは、
- 診断効率の向上
- 診断結果の理解度に対する不安要素の解消
- 即戦力として安心して業務を任せてもらえる
といった声が挙げられています。詳しくは「合格者インタビューblog」をご覧ください!
【第二部】
第二部は3つのトークルームで実施しました!
<ルーム1>セキュリティ専門家に聞ける!よろずや相談会
「セキュリティ専門家に聞ける!よろずや相談」では、当社のコンサルタントやVex開発者に加え、ユーザー企業事例で登壇いただいた方にもご参加いただき、ざっくばらんな相談や意見交換が行われていました。
ツール導入に至った背景、現在どのようなツールを使用しているのかという話や、リリースした後のチェックの頻度など運用に関する貴重なお話も聞くことができました!
<ルーム2>セキュリティ人材の育成、確保について
ルーム2では、弊社で採用や人材育成に携わるメンバーが、ディスカッション形式でトークを進めていました。
私の印象に残ったのは、「セキュリティエンジニアのやめておけと言われる理由7つ」というテーマの中で出た、「責任が重すぎるというのは本当か。それについて学生さんとはどのようなコミュニケーションを取っているか。」といった話です。「こういった辛さもある。ただ裏を返すと守っている範囲や仕事が多く、そういった地球防衛軍的な部分も学生さんにとってはやりたい部分なのかなと思う。つらいのをふまえて、それを守っているというやりがいをメッセージにして伝えている」という意見がありました。これについては、私はそういった「地球防衛軍」のような部分にやりがいを感じ、あこがれてセキュリティ業界を志望していたのもあり非常に共感できました!
<ルーム3>Webアプリ検査における脆弱性精査 How toライブ解説!
こちらのルームでは、弊社の診断メンバーが実際にWebアプリケーションの脆弱性検査を実施しながらライブ解説をさせていただきました。
通常行っている診断の流れをなぞりながら、表示された情報から得られることや次のステップに行くための思考をお話していました。ツール診断に加え、ペネトレーションテストではさらに何を行っているかも話していて、聞いていて非常に勉強になりました!質問もたくさんでて大変盛り上がっていました!
感想
開発を行っている立場ではなかなか気が付かないことや、Vexを使いこなしているからこそ思う「ここが良い」、「ここを改善してほしい」、「こんな機能が欲しい」などの貴重なご意見をたくさん聞くことができ、勉強になることがたくさんありました!
今後もこういった声を大切にし、Vexを使っていただいている皆様のご期待に応えられるよう開発に励んでいきたいと思います!
