ASPIC公式サービス【アスピック】

komabato|インタビュー掲載

komabato|インタビュー掲載

開発プロセスに組み込んで、開発・修正した部分を手軽に脆弱性検査できるクラウドツール。月額49,800円〜、検出だけでなく、修正までをトータルで管理可能。

CLOSE

資料ダウンロード (無料)

資料ダウンロード (無料)

こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。

一括資料ダウンロード (無料)

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

サービス概要

komabatoは、開発プロセスの中で開発・修正した部分を手軽に脆弱性検査できる、開発者向けのクラウド型セキュリティテストツールです。

従来のセキュリティ診断は開発プロセスとは切り離された形で、総合テストの後に行われるのが一般的です。その場合、「実施スケジュールがコントロールしづらい」「外部への委託コストがかかる」「問題発見のタイミングが遅く、開発手戻りが大きい」といった問題がありました。
komabatoなら、開発プロセスの中の任意のタイミングでセキュリティテストを行い、細かな単位で脆弱性がないかを確認できます。

  • セキュリティ知識を持ったエンジニアでなくても使いこなせる
  • チーム全体でシナリオや脆弱性に関するナレッジを共有可能
  • クラウド提供のためサーバー構築なども不要で、すぐに利用できる
  • テストシナリオ登録から確認まで、ブラウザで簡単に操作可能

セキュリティは「診断」から「テスト」へ

 

主なポイント

  • セキュリティにもスピードを

アプリケーション全体をスキャンするのではなく、開発・修正があった部分だけを狙ってスキャンできます。
また、開発工程のうち、メンバーが、自分の担当部分を細かくスキャンしていくことも可能です。
1回切りのセキュリティ診断と異なり、繰り返し、同じテストを実施可能。結果も自動でマージするため管理の手間がかかりません。

  • チームでカイゼン

誰かが記録してくれたデータをもとに、新しいURLを追加したりスキャンを実施したりできるので、効率的なシナリオ管理が可能です。
発見された脆弱性ごとの対処方針をコメントし、ステータスを管理することもできます。
特定の担当者だけでなく、すべてのメンバーが関わることで、チーム全体のセキュリティレベルの底上げが期待できます。
なお、料金はチームごとの月額制。チーム内で利用ユーザーが増えても価格が増えることはありません。

  • ブラウザから簡単操作

ブラウザに拡張機能をインストールして、開発中の画面を遷移するだけで、シナリオのレコードが可能。
複雑な設定をすることなく、画面遷移の再現ができます。
検出された脆弱性に対して丁寧な解説・対策方法が示されるので、利用を通してチーム全体の対応力が向上します。
なお、クラウド提供のため、手元でツール用のサーバーやPCを構築する必要はありません。
セキュリティ診断担当者向けツール「Vex」と組み合わせて利用すれば、更に抜け漏れのない開発が可能です。

  • 活用事例1

初めてのセキュリティテスト

  • 活用事例2

セキュリティ診断の内製化

 

インタビュー

開発チームが使いこなしていくと脆弱性がどんどんなくなる。開発者の気持ちを汲み取った実践的に使えるツール

株式会社ユービーセキュア クラウドソリューション開発部 部長 筧 賢太様、山口 翼様

株式会社ユービーセキュア クラウドソリューション開発部 部長 筧 賢太様、山口 翼様

―komabatoは、どのようなツールでしょうか?

セキュリティ診断の専門ではない開発チームでも手軽に導入・診断ができる、開発現場目線で作られたセキュリティテストツールです。

弊社は2007年に創業しました。当時は脆弱性・セキュリティ診断と言えば「専門知識を持ったプロが行う作業」という認識が一般的だったため、プロ向けに「Vex」という脆弱性・セキュリティ診断ツールを提供していました。Vexは検査精度も高く、リッチな機能を有していますが、使いこなすためには相応の知識が必要です。

しかし、最近では検査依頼のコストや納期などを鑑みて、プロでない人が自力でセキュリティチェックをするような機会が増えてきました。そこでプログラム開発を専門にしている人でも手軽に脆弱性やセキュリティの診断ができるように開発したプロダクトがkomabatoです。2021年10月にサービスをリリースし、利用者が徐々に増えています。

―Vexとkomabatoの違いを教えてください。

前提として、開発部門の方には脆弱性やセキュリティの診断も「テストの一環」として取り扱いたいというニーズがあります。システムを改修したら、改修部分のみを手軽にスキャンしたいという方が多いのです。

しかし、Vexを含めた一般的な脆弱性検査ツールは第三者によるチェックを想定して作られているため、改修部分以外も含めて、システムすべてをスキャンして結果をレポートする使い方がメインです。丁寧で漏れのない検査ができる反面、ピンポイントでのスキャンには使いづらい。また、開発側からすると使いこなすまでの学習コストが高く、ニーズに合致しづらい面もありました。

一方komabatoは、改修部分だけをスキャンして細かい単位で検査を繰りかえすことができるため、開発チームにとっての使い勝手を意識して設計されています。また、レコーディング機能を使って検査シナリオを簡単に作成できる点も特徴です。

―シナリオ作成が簡単だとセキュリティテストがはかどりますよね。

はい。一般的なツールでは最初にシナリオを作り、特定の手順で動かすために細かく設定する必要があるため、手間が掛かります。komabatoならシステムのUI操作をレコードするだけでシナリオ作成の準備が整うため、非常に楽です。

いわゆるE2Eのテストツールをイメージいただくとわかりやすいですが、ブラウザを使ってスキャンしたいURLに到達するまで、ボタンなどをクリックして画面操作をしていけば、操作内容がシナリオとして記録されます。その上で「シナリオテスト」ボタンを押すと、同じ操作が再現されます。操作が正しく行われることを確認できたら「シナリオ登録」を押すだけで、簡単にシナリオが作成できます。その際、作成したシナリオの表示画面がとても見やすいのも特徴です。

―ほかにこだわった点はありますか?

komabatoはURLの一つひとつをテスト管理単位としている点も、他のツールにはない魅力だと思います。URL単位でテスト対象を一覧表示し、実施結果の項目がグリーンなら問題なし、レッドなら脆弱性を伴う可能性があるというように、一目瞭然でわかるデザインになっています。最近スキャンできていないURLが一目でわかり、漏れなくテストできる点も特長です。

―利用者のことを考えた工夫がなされているのですね。

はい。ツールを利用する開発チームのモチベーションを保つことができるよう細部まで意識して設計しています。検証するサイトが適時セキュリティスキャンに掛けられていて、きちんと安全な状態になっているかどうかというのは、どうしても気になるものです。そこで一覧表示を見たときに各URLがオールグリーンになっていると脆弱性がなくなっているので、使っていて気持ちがいいし、モチベーションが上がりますよね。

―利用者として想定しているのは開発現場の人ということですが、具体的な活用方法を教えてください

活用方法は4パターンあります。

まず、はじめてセキュリティテストに取り組もうとされている開発チームでお使いいただくパターンです。komabatoはスキャンが簡単に行えるので、初めてのツール導入でも学習コストを抑えて始められますし、ライセンス費用も比較的安価に取り組むことができます。何もやっていない状態からの最初の一歩に最適です。

また、2パターン目として、既にセキュリティに取り組んでいて、外部ベンダに診断を依頼している開発チームにもご活用いただけます。今後、ますます開発速度が上がっていく中で、設計・実装・テストを短いスパンで回す必要があるため、都度、外部診断をアサインするのが難しいケースも増えています。したがって、小さな改修に関してはkomabatoで検査してベースラインを担保しながら、重要な機能や大きな変更の際には従来どおり外部診断を実施し、リリースするという使い方をオススメしております。

3パターン目は全社のセキュリティを統括する立場の方を対象とした活用方法です。具体的には多数のプロジェクトが動いており、自社のチームだけでなく外部にも開発を発注している状況をイメージしてください。komabatoには複数のチームを紐づけて管理できる機能があるため、統括者が各チームの検査状況をチェックできるようになります。各開発チームがバラバラの方法でセキュリティ診断を取り組んでいると、全社で一定のレベルを担保することが難しかったですが、komabatoを使えばベースラインを揃えつつ、それらの状況をまとめて管理できます。

最後は、開発チームがkomabatoで個別的な診断をし、リリース前の診断や定期診断でセキュリティチームがVexを使って包括的な診断をするというパターンです。開発速度に合わせて必要な部分だけkomabatoで検査し、重要な部分はVexで高精度なスキャンを実施するという分業体制にすれば、スピードと丁寧さを両立できます。

―「必要な部分だけ簡単にスキャンできる」という点以外に、komabatoが選ばれる理由を教えてください。

誤検知が出たときに効率的に処理ができる点です。診断ツールにはどうしても誤検知が付き物で、脆弱性ではない結果が引っかかるケースがあります。その際に誤検知の部分だけを除外する必要があります。通常の脆弱性検査ツールでは、同じ結果がスキャンのたびに重複して表示されるため、別途、Excelなどで「このURLに対してこの検査パターンが出た場合は誤検知」というメモを逐一記録して確認・修正するといった運用が必要でした。

komabatoは誤検知のリストを簡単に作れ、一度誤検知判断した結果は、次回以降は自動で仕分けされます。また、脆弱性はあるが、実リスクとしては許容できるといったケースについても、「受容」というリストに移しておけば、次回以降の検査で自動的に仕分けされ、優先度を下げて後々改修するといった運用も可能です。

―あまり問題でない脆弱性や誤検知をリストアップしたり共有したりするのは手間ですからね

そうですね。そもそも開発者は「誤検知がなにか」「セキュリティバグとはなにか」をあまり知らないケースが多いです。そのため、検査ツールには通常、脆弱性の詳細やリスクや精査方法に関する説明が表示されるようになっています。ただ、説明はいずれも一般論でしかなく、システムごとに見るべき観点が異なることを考えると、それだけでは十分でないことも多いです。そこでkomabatoにはチーム単位で脆弱性ごとにナレッジを記載できる機能があり、誤検知の見分け方や修正方法など、そのシステム特有の注視すべきポイントを共有できるようにしてあります。

また、開発者は「脆弱性が見つかった後にどう対応するのか」が重要です。そのため「検知対応としてどのような処理をするのか」をフローにして書いたり、詳しい担当者の名前を書き置きしたりと、メモの自由度を高くしてあります。更に個々の脆弱性にどう対処したのか、やり取りをコメントとして残すこともできるため、同種の脆弱性が出た時に過去の対処の流れを参考にすることもできます。

このように、使えば使うほどkomabato内にチーム独自の知見が溜まって使いやすくなる仕組みになっています。新規メンバーが参入したときにも一定の知識を担保することもできますし、チームのセキュリティ知識が向上すれば、コーディングの段階から脆弱性がありそうな部分を注意するようになるという変化も期待できます。

―導入も手軽に行えますか?

はい。最初にドメインの所有確認をするために、komabatoが発行しているトークンをサイトに設定いただく必要がありますが、そうした初期設定から弊社でサポートしています。スキャンを掛けて検査できる段階に至るまでスムーズです。導入後にスキャンが停止するなどのエラーが起こった時には、お問い合わせいただければ迅速に対応・機能改修します。

―今後、注力していきたいことについて教えてください。

近年、リリース手順を機械化して高速でプロセスを回していくという「CI/CD」と呼ばれる仕組みが注目を集めているので、そこにアプローチしていきたいです。また、komabatoは脆弱性をチケットとして管理する機能がありますが、別のチケット管理ツールをお使いのケースが多いため、自動で連携させたいとも思っています。具体的にはkomabato上で改修すべき問題が検知されたときに、ボタン一つでチケット管理ツールに自動で起票されるような仕組みを想定しています。

その他、Vexとの連携も強化していきます。アプリケーションに詳しい開発者がkomabatoでシナリオを作り、それをVexに受け渡してからセキュリティエンジニアが検査するという体制になれば、大きな工数削減につながります。反対にセキュリティエンジニアが丁寧に検査した結果をkomabatoの結果画面に流せるようになれば、開発者が使い慣れたツール上で検査結果を確認して事後対応までできるので効率的です。開発者とセキュリティ担当者がうまく連携することで仕事がスムーズに進む世界を実現したいです。

こちらのインタビューは2022年2月に公開しており、記載されている情報が異なる場合がございます。

料金

  • 【ベーシックプラン】月額49,800円(1チームあたり)
    ※2週間の無料トライアルあり

 

会社概要

会社名 株式会社ユービーセキュア
代表者名 松田 陽子
資本金 4,200 万円 (資本準備金3,000 万円)
所在地 〒104-0045 東京都中央区築地4-7-5 築地KYビル4F

 

CLOSE

資料ダウンロード (無料)

資料ダウンロード (無料)

こちらから「セキュリティ・脆弱性診断」の資料を一括でダウンロードできます。

一括資料ダウンロード (無料)

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

このページの内容をシェアする

  • Facebook
  • Twitter
  • LINE
TOPへ戻る

資料ダウンロードフォーム

1分で簡単登録。無料

入力フォームはこちら

登録済みの方はこちら

パスワード再発行

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

アンケートにご回答ください。

サービスの導入検討状況を教えてください。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提供会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE