PR

 神戸デジタル・ラボは2011年10月18日、Androidアプリケーションの脆弱性診断サービス「ProactiveDefense for Android」を発表した。10月24日に提供を開始する。価格は、ソースコード診断を含まない最安価のサービスメニューで60万円から。

 Webサイトの脆弱性を診断して報告書を提出する既存サービス「ProactiveDefense」のノウハウをベースに、新たにAndroidアプリケーションの脆弱性診断サービスをメニュー化した。ユーザーのAndroidアプリケーションやシステムを神戸デジタル・ラボ側でインストール/構築して評価し、診断結果と対策方法を報告書のかたちで提供する。

 最上位メニューでは、ソースコード診断を含むAndroidアプリの脆弱性と、Andoridアプリと通信するサーバーの脆弱性を診断する。

 Androidアプリの診断項目は、認証系(総当り攻撃に強いか、認証情報の保存方式は適切か、通信時に暗号化しているか)、不適切な権限(必要以上に端末情報を取得していないか、その他のアプリと必要以上に通信していないか)、暗号化(認証情報と機密情報を保存する際に暗号化しているか)、不正操作(ファイルの改ざん、端末の不適切な設定)---など。

 一方、サーバーの診断項目は、認証系(パスワード管理が適切か)、承認(セッション情報が盗まれないか)、インジェクション系(SQLやOSコマンドのインジェクション攻撃の脆弱性がないか)、情報漏洩(Webサーバーから設定内容やコンテンツなど各種の情報が漏洩しないか)---など。

用途に応じて3種類のメニューを用意

 ソースコード診断の有無やアプリケーションの稼働形態などに応じて、(1)「Android端末一括診断」、(2)「Androidアプリ提供診断」、(3)「Androidアプリ利用診断」という3種類の用途別サービスメニューを用意した。これらは、(a)Androidアプリの脆弱性診断(ソースコード診断を含む)、(b)Androidアプリの脆弱性診断(ソースコード診断を含まない)、(c)サービス提供サーバーの脆弱性診断---のどれを実施するかが異なる。

 (1)のAndroid端末一括診断は、Androidアプリとサーバーが通信する形態を想定したフル機能の診断サービス。自社でサーバー通信型のAndroidアプリを開発するユーザーや、サービス提供事業者に向く。(a)のソースコード診断を含むAndroidアプリの脆弱性診断と、(c)のサービス提供サーバーの脆弱性診断を実施する。

 (2)のAndroidアプリ提供診断は、サーバー通信を前提としないAndroidアプリを想定した診断サービス。自社でAndroidアプリを開発するユーザーや、アプリ提供事業者に向く。(a)のソースコード診断を含むAndroidアプリの脆弱性診断を実施する。

 (3)のAndroidアプリ利用診断は、Androidアプリを自社では開発せず、第三者が開発したアプリを利用するケースを想定した診断サービス。(b)のソースコード診断を含まないAndroidアプリの脆弱性診断を実施する。