ツール
Androidアプリ脆弱性診断ツール RiskFinder
最新情報を基にしたAndroidアプリのセキュリティ診断をクラウド上で実現
- こんな方にお勧めします
-
- Androidアプリケーション開発者
- Androidアプリケーション発注者
- 社内システム管理者
- こんな悩みを解決します
-
- Androidアプリを多数所有しており、バージョンアップ時などにセキュリティチェックを簡単に実施したい
- Androidアプリの開発をしているが、セキュリティ面でのチェックを第三者的な視点から実施したい
RiskFinderとは
Androidアプリ開発知識やソースコードファイル不要。アプリケーションファイルとブラウザーを準備するだけで、簡単にAndoirdアプリの脆弱性診断結果が得られるサービスです。
Androidの急速な普及に伴い、現在多くのアプリケーションがリリースされています。市場が急速に広がったためにAndroidに精通した技術者が不足しているのが現状です。 RiskFinderは、経験の十分でない技術者がアプリ開発に携わる状況において、アプリをツールで診断することにより、セキュリティやソフトウェア品質面を一定の品質に維持することができます。
検出項目/レポート出力項目の代表例
- 日本スマートフォンセキュリティ協会(JSSEC)のセキュアコーディングガイドの情報を網羅
- IPA(情報処理推進機構)から発行されているセキュリティ情報を網羅
- 総務省の「スマートフォン プライバシー イニシアティブ」に準拠するための情報を出力可能
その他、詳しくはお問い合わせください。
特 色
POINT 1
ブラウザーでファイルをアップロードするだけなので、誰でも使用可能。
事前準備は必要ありません。アプリ開発の知識も不要です。診断したいアプリのファイルとブラウザーがあれば、誰でも簡単に脆弱性診断を行うことができます。 RiskFinderを使用してアプリを診断することで、技術者のレベルに左右されない安定した品質のアプリを作成できます。また、出力したレポートは、脆弱性やプライバシー保護に関する検査記録として納品することもできます。
POINT 2
アプリファイルのみで診断可能。ソースコードは不要。
ソースコードが入手できないアプリでも診断できます。 アプリが使用しているライブラリー(広告モジュール)についても簡単に診断できます。
POINT 3
脆弱性を指摘するだけでなく、対処方法も提示。
診断結果には、検出された問題に対する具体的な対処方法まで記載されています。レポートを参照すれば、解決のために何をすれば良いかが簡単に理解できます。
POINT 4
「脆弱性」に加え「マルウェアと間違えられやすい項目」や「品質に関する項目」も検出。
無駄なPermissionや、不要な機能が含まれていることで、 マルウェアと誤解されてしまうアプリも多く存在します。 このようなアプリの品質に関するチェックも行います。
POINT 5
Androidの最新情報に素早く対応。
受託開発、研究開発と平行して、常にAndroidの最新の情報を追いかけています。RiskFinderにも最新の情報、ノウハウが反映されます。
検出項目一覧(一部抜粋)
脆弱性に関する項目 |
---|
・Activityの脆弱性 ・Serviceの脆弱性 ・ContentProviderの脆弱性 ・BroadcastReceiverの脆弱性 ・AndroidManifest.xmlの脆弱性 ・使用できないPermission ・不要なPermission ・外部記憶装置へのアクセス ・ファイルのアクセス制限不備 ・Log出力メソッドの使用 ・JavaScriptが使用可能なWebView ・JavaScriptを使用しているAsset内HTMLファイル ・SSL通信時の証明書検証不備 ・アプリ内に含まれているURL ・安全性の低い暗号化ロジック ・プログラム内に組み込まれているライブラリーの問題 etc… |
品質に関する項目 |
---|
・誤った証明書の使用 ・AndroidManifest.xml内の不要な項目 ・デバッグモードの設定 ・OSバージョン固有の問題 ・廃止されたAPIの使用 ・プライバシーに配慮が必要な処理 ・Android推奨ルールからの逸脱 ・実行時エラーとなる可能性 etc… |
マルウェアと疑われる可能性のある項目 |
---|
・グレーゾーンアプリの疑いのあるPermissionの使用 ・危険なPermissionの使用 ・広告ライブラリーの使用 ・危険なライブラリーの使用 ・グレーゾーンのライブラリー使用 etc… |
脆弱性に関する項目 | ・Activityの脆弱性 ・Serviceの脆弱性 ・ContentProviderの脆弱性 ・BroadcastReceiverの脆弱性 ・AndroidManifest.xmlの脆弱性 ・使用できないPermission ・不要なPermission ・外部記憶装置へのアクセス ・ファイルのアクセス制限不備 ・Log出力メソッドの使用 ・JavaScriptが使用可能なWebView ・JavaScriptを使用しているAsset内HTMLファイル ・SSL通信時の証明書検証不備 ・アプリ内に含まれているURL ・安全性の低い暗号化ロジック ・プログラム内に組み込まれているライブラリーの問題 etc… |
---|
品質に関する項目 | ・誤った証明書の使用 ・AndroidManifest.xml内の不要な項目 ・デバッグモードの設定 ・OSバージョン固有の問題 ・廃止されたAPIの使用 ・プライバシーに配慮が必要な処理 ・Android推奨ルールからの逸脱 ・実行時エラーとなる可能性 etc… |
---|
マルウェアと疑われる可能性のある項目 |
---|
・グレーゾーンアプリの疑いのあるPermissionの使用 ・危険なPermissionの使用 ・広告ライブラリーの使用 ・危険なライブラリーの使用 ・グレーゾーンのライブラリー使用 etc… |
ご利用シーン
■アプリ開発時の品質担保
開発担当者の意識や経験に依存してセキュリティやプライバシー保護に関する実装をしていては、アプリの品質を維持することはできません。 RiskFinderを使用してアプリを診断することで、技術者のレベルに左右されない安定した品質のアプリを作成できます。また、出力したレポートは、脆弱性やプライバシー保護に関する検査記録として納品することもできます。
■開発委託したアプリの受け入れ検査
アプリ開発を外部に委託した場合、委託側は納品されたアプリを検査することになります。委託側には通常、専門知識を持った技術者がいないため、脆弱性や利用者のプライバシー保護等について検査することは困難です。 RiskFinderが出力する診断レポートを使用すれば、委託側と開発側が的確なコミュニケーションをとれるようになり、利用者が安心して利用できるアプリをリリースできます。
■社内導入アプリの決定
社内導入するアプリを選定する場合、そのアプリがマルウェアでないことや、脆弱性がないことを確認する必要があります。 RiskFinderを使用してアプリを診断することで、マルウェアやグレーゾーン(利用者の個人情報を使用するが目的が不明)のアプリを検出でき、アプリの採用/不採用の判断材料を得ることができます。
■掲載アプリの選定(アプリ紹介サイト・書籍紹介)
アプリの紹介サイトや書籍で紹介されたアプリは優良なアプリとして推薦されたものとして、多くの利用者が使用します。サイトの運営者や書籍の編集者は、掲載するアプリが安心、安全なのものであることを確認することが必要です。 RiskFinderを使ってアプリを診断することでアプリの問題を把握できるので、マルウェアや不適切なアプリを誤って紹介してしまうような事態を未然に防ぐことができます。
ご利用形態・価格構成
価格は、サーバー利用費(年間)と検査費(有効期限 1年)にて構成します。
サーバー利用費(年間)
ご利用形態 | 価格 | 概要 |
---|---|---|
パブリッククラウド | 初年度:100,000円(初期費) 2年目以降:70,000円 (アカウント維持費) | クラウド上に構築しているサーバーを複数のお客様で共有していただく形式です。 •規定のサーバー設定でご利用いただきます。 •ユーザーアカウントをご提供します。 •他のユーザー様の利用状況によりサーバーのレスポンスが影響を受けることがあります。 •お客様の情報が他のお客様に参照されることはありません。 |
プライベートクラウド | 初年度:200,000円(初期費) 2年目以降:140,000円(アカウント維持費) | お客様専用のサーバーをクラウド上に構築します。 •お客様指定のアクセス制御を設定し、想定外のサーバーアクセスが発生しないようにします。 •お客様のセキュリティポリシに合わせてサーバーを構築します。 •サーバー構築費用が発生します(別途、お見積もり)。 •ユーザーアカウントはお客様が自由に発行することができます。 ※サーバー構築費用が発生します。詳細はお問い合わせください。 |
オンプレミス | 初年度:500,000円(初期費) 2年目以降:350,000円 (アカウント維持費) | お客様が所有するネットワーク上にサーバーを構築して利用していただく形式です。 •サーバー構築費用が発生する場合があります(ご相談ください)。 •ユーザーアカウントはお客様が自由に発行することができます。 •弊社側からの利用状況確認を行えるよう、弊社とサーバーの間に通信経路を確保いただきます。 ※サーバー構築費用が発生する場合があります。利用状況確認のため、サーバーと弊社の間に通信が必要となります。 |
検査費(有効期限 1年)
検査費には以下の2タイプの課金形式があります。初回契約時にどちらかの種別のチケットを、1年間の予想使用回数分ご購入ください。チケットの有効期限は1年となります。
課金形式 | 価格 | 概要 |
---|---|---|
アプリケーション単位課金 | 100,000円/1本(30日間有効) | 検査対象となるアプリケーションに対して課金が発生する形式です。 検査期間(初回検査から30日間)中は検査回数の制限はありません。 検査回数が多く、かつ検査対象アプリの本数が少ない場合に向いています。 ※別途、初期費、アカウント維持費が必要となります。詳細はお問い合わせください。 |
検査回数課金 | 50,000円/1回 | 検査1回単位に課金が発生する形式です。 検査対象、または検査回数の大きな増減が見込まれる場合に向いています。 (多数のアプリを頻繁に検査するような場合は、ご相談ください。) |
ご購入例
①パブリッククラウドを利用して、3アプリケーションの場合
- 【初年度:】 100,000円(年間費用)+3(アプリケーション)×100,000円(1本30日間有効)=400,000円
- 【2年目以降:】 70,000円(年間費用)+3(アプリケーション)×100,000円(1本30日間有効)=370,000円
②プライベートクラウドを利用して、10回の検査の場合
- 【初年度:】 200,000円(年間費用)+10(回)×50,000円(1年間有効)=700,000円
- 【2年目以降:】 140,000円(年間費用)+10(回)×50,000円(1年間有効)=640,000円
お電話でのお問い合わせ(受付時間:平日9:00-17:45)