はじめに
はじめまして!今年度からVexCloudの開発チームに所属している小形です。
2024年11月8日に、「第6回 Vexユーザーカンファレンス」が開催されました。去年はオフライン・オンラインでの同時開催でしたが、今年は完全オフラインで実施しました。完全オフラインの開催は第1回以来の2回目です。今回は、Vex/VexCloudの事業方針のご紹介、ユーザー様事例のご紹介、技術関連の講演、の大きく分けて3つのプログラムを実施しました。また、カンファレンス後には当社の開発エンジニアも交えて懇親会も実施しました。
カンファレンスから懇親会まで参加したので、その様子をお届けします。
2024年 Vex事業方針のご紹介
プロダクト事業推進部の松浦さんによるご紹介です。前回のカンファレンスで「VexCloudと連携させた機能を提供したい」と宣言したそうですが、それが実現できました。
直近1年のVexリリース情報
今年リリースした機能には以下のようなものがあります。
- VexCloud連携 - 脆弱性管理機能の提供
- VexCloud連携 – 通知機能の追加
- パラメータ自動引継ぎ機能の強化
- セッションID (Cookie) の見える化/選択機能の追加…など
- テスト送信の一括実行機能の追加
- シグネチャ関連の強化 「検査能力向上」
新機能が多くすべてをここで挙げることはできませんが、多くの機能リリースによるVexの進化を感じました。VexCloud連携の機能は、Vexユーザーの方々にもVexCloudを知ってもらえる機会になるので、VexCloud開発メンバーとしてはとても嬉しいです。今回はこの中でVexCloud連携について取り上げます。
Vex×VexCloud連携でできること2選!
【脆弱性管理がもっと楽に】
- 複数のプロジェクトの検査結果を集約・分析
- 集約結果のダッシュボードでの確認
- 検出した脆弱性のステータス管理
- 診断者や開発担当者とのコミュニケーション機能
検査結果の集約については、Vexで出力した連携ファイルをVexCloudにアップロードするだけで利用できます。 これらによりプロジェクトごとの脆弱性の管理がかなり楽になり、運用効率の向上が期待できますので、ぜひご検討ください。
【検査ステータスを通知で確認】
Vexへの要望として今までで一番多かったものが、「検査が開始・終了したタイミングでメール等の通知をしてほしい」というものでした。VexCloud連携により通知機能の利用が可能になります。通知方法はメール以外にもTeamsやSlackにも対応しています。スケジュール機能との組み合わせにより、予定通り検査が開始・停止したのかなどが通知により確認できるようになります。とても便利な機能なのでこちらもぜひご検討ください。
機能アップデート以外にも、「スキルアップオンライン講義」や「新トレーニングメニューのリリース」なども実施しました。脆弱性ブログの発信も継続して実施しており、Vex/VexCloudを使いながらブログを読むことで非常に効率的に学習ができるかと思いますので、ぜひご一読ください!
ここまで紹介したアップデートにより、今年もお客様の業務を楽にするための取り組みが形となりました。今後も今よりもさらに便利で使いやすいツールになるように強化していきます。引き続きVexをよろしくお願いいたします。
2024年VexCloud事業方針のご紹介
VexCloudは昨年7月にローンチした診断ツールです。Vexとは違い、全自動での診断が可能です。
「サイト数が多すぎると診断しきれない」、「診断の習得に時間をかけられない」などの理由によりこれまで診断ができなかった企業様でも、VexCloudにより診断を手軽に始めることができます。現時点でも、多くのグループ企業を抱える企業様から自社でWebシステムを開発されている企業様まで、様々なお客様にご利用いただいております。
サイトごとに重要度や複雑度などが異なるため、効率よく診断するためには、サイトごとに最適な診断手法を選択することが必要です。しかし、実際にはサイトごとに診断手法を変えるのは手間が大きく実現が難しいです。VexとVexCloudを連携させることにより適材適所でコストパフォーマンスの高い診断を実現できます。
今までセキュリティ診断をしたことのない開発チームからも導入していただき、開発段階でセキュリティリスクを洗い出し、開発プロセス内に診断が組み込まれている活用事例もあります。また、VexCloudの自動診断により、限られた期間での大量サイトの一括診断が実現できるため、大企業のお客様にもグローバルでご利用いただいています。
開発メンバーの私としても、VexCloudは専門知識がない方でも簡単に診断ができるというのは身に染みていますし、実際にそのような声を多くいただいています。開発の初期段階で手軽に何度も診断を実施することで、実装のバグにより脆弱性が埋め込まれる可能性を少なくするという目的や、Vexでの診断が大変なほど大規模なサイトへの診断の目的には、特に力を発揮します。
Vex、VexCloudを単体で利用するのではなく、二つを組み合わせることでより多くの課題を解決できるようになります。サイト数が多いことによりVexで全シナリオを作成することが現実的ではなく、全サイトを診断しきれていない企業様、VexCloudを利用してきたものの重要なサイトに対してより高度な診断を実施したい企業様、いつでもお気軽にご相談ください。
技術関連の発表
「生成AIの進化とWebアプリのセキュリティ:光あるところ影あり」
実際にAIを利用しているサービスとそのようなサービスに成立する攻撃について、プロダクト開発部の福冨さんが実例を踏まえて紹介しました。その後、LLMを活用したWebアプリケーションにおける脆弱性や攻撃手法などの、脅威動向に順位付けをしたリストである OWASP Top 10 for LLM Applications に関して、その中でも上位である、以下の2つについて紹介しました。
- プロンプトインジェクション攻撃
- 安全でない出力ハンドリング
プロンプトインジェクションは有名な脆弱性ですが、実際のサービスに対する攻撃を想定して仕組みや攻撃事例について説明しました。こちらの例では具体的にどのようなプロンプトを利用していたかも提示していて、聞いていてとても分かりやすかったです。
安全でない出力ハンドリングは、LLMの出力を十分に検証・サニタイズせずに、盲目的に関数などに引き渡す場合に生じる脆弱性です。こちらについても、実際にこの脆弱性が存在したものを例に挙げながら仕組みを説明してました。その中には有名なフレームワークも含まれていたので、個人的には非常に印象に残りました。
このように、実際のサービスを絡めながら攻撃の仕組みや対策について紹介していたので、AIを利用したサービスのセキュリティについて考えるいい機会になったと思います。
「クレイジー!メールとURLの仕様に潜む罠~世界最大級のカンファレンスで発表された最新の攻撃手法~」
世界最大級のセキュリティカンファレンス「Black Hat USA 2024」が今年もラスベガスで開催されたので当社から3名が現地参加しました。今回は、そこで発表された研究成果のうちウェブ技術関連のものを、プロダクト開発部の鈴木さんと坂梨さんが紹介しました。別でブログが出ますので、気になる方はぜひそちらもご覧ください。ここでは軽く紹介します。
- メールアドレスパーサーの悪用
- ubsecure.jp!vex\@example.com
- ex%ubsecure.jp(@example.com
- =?utf-8?q?=76=65=78?=@ubsecure.jp
- これらはいずれもメールサーバーによっては(=仕様によっては)有効なメールアドレスであり、文字列としての見た目に反して ubsecure.jp ドメイン宛にメールが送信されます。これにより、「特定のドメインのメールアドレスを所持するユーザのみ登録を許可する」といった、メールアドレスのドメイン部を利用した認証の回避が可能になります。ここでは詳しく紹介することはしませんが、初期のインターネットで用いられた通信プロトコルの話などが出てきて非常に面白かったです。
- URLパーサーの悪用
キャッシュサーバーとオリジンサーバーとの間でのURLの解釈の違いによって引き起こされる問題についての紹介です。例えば、/vex;%2F..%2Fstatic というパスにアクセスしたときに、キャッシュサーバーとオリジンサーバーのパス解釈に違いがあると、誤って機微情報がキャッシュされて情報漏洩が起こる可能性があります。これはほんの一例ですが、このパートでは具体的な例・悪用されてしまう原因・対策方法について紹介しました。
これらの文字列だけを見たときに、どのような仕組みでどう解釈されるかについて即座に答えることができる方は多くはないと思いますので、参加していただいた多くの方にとっても学びになったのではないでしょうか。
技術パートまとめ
技術関連のパートではVex/VexCloudの開発メンバーが面白い技術についての紹介をしてくれました。今回はAIとBlackHatのどちらのパートもシグネチャ開発のメンバーが担当しており、技術力を生かしたわかりやすい発表をしており面白かったです。ここで詳しく紹介できないのが残念ですが、気になる方はぜひブログをお待ちください。
ユーザー様事例:ネットワンシステムズ株式会社様
幅広いお客様へセキュリティ診断サービスも提供している企業様で、前職からWebアプリケーション診断を担当している方からのご発表です。診断開始当初はVexではなく別のツールを利用されていて、Vexに乗り換えた理由や気に入っている点などを紹介していただきました。
Vexへの乗り換え前に使用されていたツールは、診断をされている方ならおそらく皆さん聞いたことのあるツールとのことです。サービス品質向上の取り組みの一環としてツールを見直され、主に以下の点を考慮して乗り換えに踏み切られました。
- 元のツールでは柔軟な設定ができなかった点
- 元のツールでは使っていて知識や技術が身につかなかった
- Vexをのほうがコストが抑えられる点
- 比較したときの事業安定性
Vexで一番評価していていただいているポイントはHandler機能です。流れに沿って設定作業を行うことで自然と検査対象システムへの理解を深めることができ、それによりその後の手動診断にも生かせる点がお気に入りとのことでした。最近は自ら細かい設定をしなくてもVexが自動で設定をしてくれますが、あえてHandlerを使ったりもしているそうで、Handlerについてとても熱心に発表していただきました。
発表を聞いた司会でプロダクト営業推進部の佐藤さんは、「最近は簡易的に診断するニーズが多い中で、Handlerが気に入っているとのことでVexへの愛情が感じられました!」とのコメントをしていました。
他ツールからVexに乗り換えていただいた企業様からのご発表でした。実際に比較したポイントやVexを選択していただいた理由などを直接聞くことのできる機会は非常に貴重で話に聞き入ってしまいました。Vexを検討していただいている企業様にも参考になる話だったと思います。
ユーザー様事例:株式会社ディアイティ様
株式会社ディアイティ様からは、マネージャー視点とエンジニア視点から見るVexについて発表していただきました。
「マネージャー視点から見るVex」
新人を育てるのは大変ですが、脆弱性を学習するための本とVexとで育成をすると新人が育ってくれるとのことです。ユービーセキュア公式で公開している動画の品質が高く、自社で資料を作成しなくても理解できるため、教育コストを削減できてありがたいと言っていただきました。
また、管理者としてはトラブル対応が責務とのことで、トラブルについての意見も発表していただきました。トラブルの際にログがないと潔白を証明できません。Vexに残っているログを用いてやり取りをするとお客様との信頼関係も深まるためとても重要とのことです。
サポートについても最後の砦とのことで高く評価していただきました。顧客から検出ロジックを確認されることがあり、脆弱性によってはどのようなロジックで検知したのかがわからないものもあるので、その際に海外製のスキャナを使用していると丁寧な回答を得られずに非常に困るそうです。その点、ユービーセキュアの場合はかなり丁寧に答えてもらえるので助かるといっていただきました。サポートにもかなり力を入れているので嬉しいご意見でした!
「エンジニア視点から見るVex」
このパートで発表されたエンジニアの方は、入社と同時に「ほぼ知識ゼロ」の状態からVexを使用しての脆弱性診断に従事されているそうです。シナリオマップ機能を使うと、高いレベルのスキルを有していなくても、診断作業が可能である点が強みと言っていただきました。
また、Vexへの追加要望機能についても提案していただき、当社の開発担当者もうなずきながら聞いていました。来年には提案していただいた機能をはじめとして多くの機能が実装できるよう、開発チーム全体として頑張っていきます。
以上、ユーザー様事例のご紹介でした。
Vexのどのような点を評価していただいているかについての発表をしていただけたのは、当社の開発メンバーにとって非常に勉強になりました。来年のユーザーカンファレンスでは、VexCloudを利用していただいている企業様にも発表していただけることを心待ちにしています。来年も我こそはという企業様はぜひご発表お願いいたします。
懇親会
ユーザーカンファレンスの後には懇親会も開催しました。カンファレンス参加者の大半の方に懇親会にも参加していただけたため、とてもにぎやかな懇親会となりました。
ユーザー様同士でVexをどのように使われているか、診断をするうえでどのような点が難しいか、などの話をされていて非常に盛り上がっている様子でした。Vexでの診断の際の挙動についての質問や、機能の要望を直接開発メンバーに伝えてくださる方もいらっしゃいました。Vexの開発メンバーもメモを片手にVexへの意見を聞きに行っていたり、日本酒を手に歓談しに行っている社員がいたりと、有意義で楽しい場になったと思います。
今回のカンファレンスでVexCloudを初めて知った方もいらっしゃったようで、私もそのような方に実際にVexCloudを紹介させていただくことができたので非常に有意義な会でした。VexCloudも多くの企業様に好感触だったようでとても嬉しいです。来年はVexCloudのユーザー様ももっと多く参加していただけるように一層頑張ろうと思うことができました。
懇親会の後半ではビンゴ大会も開催しました。
景品も旅行券など昨年よりも量も質もパワーアップして臨みました。どの程度喜んでいただけるか不安でしたが、数字の発表が進むにつれて歓声や拍手が頻繁に起こるようになり、結果的に想像以上に盛り上がりました。景品を手にすごくいい笑顔を見せていただける方がたくさんいらっしゃり、皆様に楽しんでいただけたようで本当によかったです。
感想
今回のユーザーカンファレンスではVex/VexCloudの動向についてはもちろんのこと、技術関連の発表やユーザー様事例など、様々なご紹介ができました。懇親会に参加された方からも、「ユーザー同士の交流がよかった」、「直接要望を伝えられるのがよかった」、などの意見をいただくことができとても有意義な懇親会になったと思います。
次回のユーザーカンファレンスではVex/VexCloudを利用していただいている企業様がさらに増え、さらに多くの方々と直接お話しできることを楽しみにしております!