VAddyと連携してAPIエンドポイントに対する自動診断を設定する。
KurocoではVAddyと連携することで、バックエンドで設定されている全てのAPIエンドポイントに対する脆弱性診断の自動的な定期実行が可能です。
このチュートリアルでは、Kuroco管理画面でのVAddyとの連携方法を説明します。
VAddy側の仕様の変更により、VAddy側での操作方法は本チュートリアルと異なる箇所がある場合もございます。詳細はVAddyサポートサイトで最新情報をご確認ください。
1. VAddyを申し込む
Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。
Kuroco管理画面のVAddyページから「VAddyの申し込みはこちらから」をクリックします。
サービスコードが適用された状態でVAddyのお申込みページに遷移しますので、VAddyのアカウント作成をお願いいたします。
2. VAddyのプロジェクトを追加する
VAddyでは本番環境のサーバーへのスキャン実行は禁止されているため、診断を実施するためのFQDNを確認します。
Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。
Server FQDNに表示されている kuroco-vaddy.com のドメインのURLを確認します。
こちらが診断を実施するためのFQDNになります。
次にVAddyのスタートアップガイドに従って、VAddy側でプロジェクトの作成をします。
Server FQDNはhttps://を指定して、先ほど確認をしたkuroco-vaddy.com のドメインのURLを入力してください。
プロジェクトが追加できたら、表示された[プロジェクトID]と[Project number]をメモしておきます。
Project numberはURL末尾の数字になります。
3. サーバー所有者確認を実施する
認証ファイルのファイル名をKuroco管理画面に入力することで所有者確認のための認証ファイル設置ができます。
まずはVAddyのプロジェクトページで認証ファイルのファイル名を確認します。
次にKurocoの管理画面でvaddy-から.htmlまでの認証ファイルのファイル名を入力し、[更新する]をクリックします。
Kuroco管理画面で認証ファイルの項目を入力したらVAddy側の所有者確認に戻り、[認証ファイルの設置を確認する]をクリックします。
ユーザーから認証文字列確認用のURLにアクセスした場合は403エラーになりますが、VAddy側からは確認ができ、認証が通ります。
4. API Auth Key (VADDY_TOKEN)を取得する
VAddyのWebAPIの画面にアクセスし、[Create WebAPI Key]をクリックします。
表示された[User ID (VADDY_USER)]と[API Auth Key (VADDY_TOKEN)]をメモしておきます。
以上でVAddy側での作業は完了です。
Kurocoでの自動的な脆弱性診断はKurocoのエンドポイントをシステム側で自動的に登録するので、「【STEP 2】クロールの設定と実行」は実施不要です。
5. Kurocoの設定をする。
次にKuroco側の設定をします。
Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。
「2. VAddyのプロジェクトを追加する」「4. API Auth Key (VADDY_TOKEN)を取得する」でメモした下記の情報を入力し、[更新する]をクリックします。
- User ID (VADDY_USER)
- API Auth Key (VADDY_TOKEN)
- プロジェクトID
- Project number
以上でKurocoとVAddyの連携は完了です。
バックエンドで設定されている全てのAPIエンドポイントに対する脆弱性診断の自動的な定期実行がされるようになります。
脆弱性診断は日次で、午前3時頃に実施されます。
サポート
お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。