VAddyと連携してAPIエンドポイントに対する自動診断を設定する。

KurocoではVAddyと連携することで、バックエンドで設定されている全てのAPIエンドポイントに対する脆弱性診断の自動的な定期実行が可能です。

このチュートリアルでは、Kuroco管理画面でのVAddyとの連携方法を説明します。

VAddy側の仕様の変更により、VAddy側での操作方法は本チュートリアルと異なる箇所がある場合もございます。詳細はVAddyサポートサイトで最新情報をご確認ください。

1. VAddyを申し込む

Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。
Image (fetched from Gyazo)

Kuroco管理画面のVAddyページから「VAddyの申し込みはこちらから」をクリックします。
Image (fetched from Gyazo)

サービスコードが適用された状態でVAddyのお申込みページに遷移しますので、VAddyのアカウント作成をお願いいたします。
Image (fetched from Gyazo)

2. VAddyのプロジェクトを追加する

VAddyでは本番環境のサーバーへのスキャン実行は禁止されているため、診断を実施するためのFQDNを確認します。
Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。 Image (fetched from Gyazo)

Server FQDNに表示されている kuroco-vaddy.com のドメインのURLを確認します。
こちらが診断を実施するためのFQDNになります。
Image (fetched from Gyazo)

次にVAddyのスタートアップガイドに従って、VAddy側でプロジェクトの作成をします。
Server FQDNはhttps://を指定して、先ほど確認をしたkuroco-vaddy.com のドメインのURLを入力してください。
Image (fetched from Gyazo)

プロジェクトが追加できたら、表示された[プロジェクトID]と[Project number]をメモしておきます。
Project numberはURL末尾の数字になります。
Image (fetched from Gyazo)

3. サーバー所有者確認を実施する

認証ファイルのファイル名をKuroco管理画面に入力することで所有者確認のための認証ファイル設置ができます。
まずはVAddyのプロジェクトページで認証ファイルのファイル名を確認します。
Image (fetched from Gyazo)

次にKurocoの管理画面でvaddy-から.htmlまでの認証ファイルのファイル名を入力し、[更新する]をクリックします。 Image (fetched from Gyazo)

Kuroco管理画面で認証ファイルの項目を入力したらVAddy側の所有者確認に戻り、[認証ファイルの設置を確認する]をクリックします。

Image (fetched from Gyazo)

ユーザーから認証文字列確認用のURLにアクセスした場合は403エラーになりますが、VAddy側からは確認ができ、認証が通ります。

4. API Auth Key (VADDY_TOKEN)を取得する

VAddyのWebAPIの画面にアクセスし、[Create WebAPI Key]をクリックします。 Image (fetched from Gyazo)

表示された[User ID (VADDY_USER)]と[API Auth Key (VADDY_TOKEN)]をメモしておきます。
Image (fetched from Gyazo)

以上でVAddy側での作業は完了です。
Kurocoでの自動的な脆弱性診断はKurocoのエンドポイントをシステム側で自動的に登録するので、「【STEP 2】クロールの設定と実行」は実施不要です。

5. Kurocoの設定をする。

次にKuroco側の設定をします。
Kuroco管理画面にアクセスし、[外部システム連携] -> [VAddy]をクリックします。 Image (fetched from Gyazo)

「2. VAddyのプロジェクトを追加する」「4. API Auth Key (VADDY_TOKEN)を取得する」でメモした下記の情報を入力し、[更新する]をクリックします。

  • User ID (VADDY_USER)
  • API Auth Key (VADDY_TOKEN)
  • プロジェクトID
  • Project number

Image (fetched from Gyazo)

以上でKurocoとVAddyの連携は完了です。 バックエンドで設定されている全てのAPIエンドポイントに対する脆弱性診断の自動的な定期実行がされるようになります。
脆弱性診断は日次で、午前3時頃に実施されます。

Image (fetched from Gyazo)

お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。