スマホアプリセキュリティ診断をリリースしました

報道関係者各位
プレスリリース
2013年8月29日
グローバルセキュリティエキスパート株式会社
GSX のタイガーチームサービスから新サービスラインナップ
「スマホアプリセキュリティ診断」正式リリース
グローバルセキュリティエキスパート株式会社(本社:東京都港区西新橋1-2-9、代表取締役社
長:松本 松仁、http://www.gsx.co.jp)は、「タイガーチームサービス」の新ラインナップとし
て、2013年8月29日に「スマホアプリセキュリティ診断」を新たにサービスリリースします。
近年、iPhoneやAndroidをはじめとするスマートフォンの台頭により、数多くの多種多様なスマ
ホアプリが日々絶え間なくリリースされおり、スマートフォン市場は急拡大を遂げています。ス
マホアプリは、機器自体が保持しているプライバシー情報にアクセス可能であること、また、ア
プリ内及び連携するWebアプリケーションサーバにおいて、決済情報をはじめとする重要情報を
取り扱うケースが多いことから、今後益々、セキュリティ対策を考慮すべき対象となっています。
日本スマートフォンセキュリティ協会(JSSEC)が作成するガイドライン*1には、以下のような観
点の要対策記述の明記があります。
*1「Androidアプリのセキュア設計・セキュアコーディングガイド」引用
「スマートフォンのアプリケーション開発者にはそれ相応の責任が生じています。従来の携帯
電話ではあらかじめ課せられたセキュリティ制約によって、セキュリティについてあまり意識せ
ずに開発したアプリケーションであっても比較的安全性が保たれていました。スマートフォンで
は前述のとおり、携帯電話の重要な機能がアプリケーション開発者に開放されているため、アプ
リケーション開発者がセキュリティを意識して設計、コーディングをしなければ、スマートフォ
ン利用者の個人情報が漏洩したり、料金の発生する携帯電話機能をマルウェアに悪用されたりと
いった被害が生じます。」
このように、スマートフォン市場の急拡大にともない、スマホアプリ特有のセキュリティを考
慮したセキュア設計、セキュアコーディングのノウハウ集約、共有が急務となっています。
グローバルセキュリティエキスパート株式会社がリリースする「スマホアプリセキュリティ診
断」サービスは、健全でセキュリティ万全なスマホアプリを消費者へ届ける企業のためのアプリ
ケーションリリースをお手伝いします。
◆サービスイメージ
スマホアプリに対して、APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを
動作させることで生成される各種ファイルや機能の悪用可否を確認する「動的解析」の2種類の手
法による検査を実施します。
◆特徴
・確かな品質と技術力
情報セキュリティの黎明期から、高度なセキュリティを必要とする金融機関や官公庁のお客様
を中心に診断サービスを提供しています。また、情報セキュリティサービス提供企業としては、
唯一、ISO9001(国際標準化機構の品質マネジメントに関する規格)を取得し、品質の維持・向上を
行っています。
・安心のサービス提供実績
大手ソーシャルプラットフォーム提供会社、メーカー、ゲーム制作会社を中心に、ゲームやEC
アプリ、SNSアプリなどの多種多様なアプリに対する検査実績が、既に数十件以上あります。こ
れまで蓄積したノウハウにより、精度の高い診断サービスを提供します。
・最新のセキュリティ情報への対応
社内における最新情報の研究はもちろん、JSSECや日本ネットワークセキュリティ協会(JNSA)
などの情報セキュリティを専門とする外部団体にも参画し、日々研究を行っています。
◆主な診断項目例 ※一部抜粋
項目
スマホアプリ内情報の調査
TimeTraveler 脆弱性
addJavascriptInterface の使用
ログ出力内容の調査
不正 Intent による重要情報アクセス
診断項目概要
スマホアプリ内で利用する情報に重要情報が含まれ
ているか調査します
時刻操作によるスマホアプリの不正利用の可否を調
査します
WebView#addJavascriptInterface 機能の使用有無を検
査します
スマホアプリが出力するログ情報に重要情報が含ま
れているか調査します
Intent による重要情報へのアクセス可否を調査します
◆サービス概要
項目
診断内容
報告書
診断結果フォロー
対応 OS
ご提供価格
サービス概要
スマホアプリに対して、弊社診断項目に従ってセキュ
リティ診断を実施します
診断結果をまとめた報告書を提出します
診断結果に対する QA 対応を行います
Android、iOS
1 アプリ 600,000 円~(税抜)
◆オプションサービス
オプションサービス名
スマホアプリ WebAPI 診断
報告会実施
対策確認検査
サービス概要
スマホアプリと通信を行う WebAPI に対して、弊社診
断項目に従ってセキュリティ診断を実施します
作成した報告書をもとに担当コンサルタントが報告
会を行います
検出された脆弱性が対策されているかの確認作業を
行います
◆グローバルセキュリティエキスパート株式会社について
社名 : グローバルセキュリティエキスパート株式会社
本社 : 〒105-0003 東京都港区西新橋 1-2-9 日比谷セントラルビル 21F
代表者 : 代表取締役社長 松本 松仁
資本金 : 2億7,000 万円
コーポレートサイト:http://www.gsx.co.jp/
タイガーチームサービス公式サイト:http://www.tiger1997.jp/
事業内容:
国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、セキュリテ
ィ診断、セキュリティポリシーの導入、リスクマネジメント、システム実装、監視サービスに
いたる広範な情報セキュリティサービスを提供しています。情報セキュリティポリシーの国際
標準基準となった英国規格協会(BSI)のBS7799(現ISO27000)を日本に初めて紹介し、高品質な
情報セキュリティコンサルテーションを行っています。さらに、高い技術を有し、システムの
脆弱性の発見のために侵入検査などさまざまな診断を行う「タイガーチームサービス(Tiger
Team Service)」を組織しており、その手法が国内においてスタンダードとなっています。
近年、横行の絶えないSQLインジェクションやリスト型アカウントハッキングなどのハッキ
ング行為に代表される不正アクセス。これらハッキング行為に対してタイガーチームサービス
は、ハッカーと同様の技術を持つ専門エンジニアが、お客様のネットワークシステムに擬似攻
撃を実施し、脆弱性の有無を診断します。検出した脆弱性については、その内容と対策措置ま
でを、結果報告書に取りまとめてご報告します。
【本件に関するお問い合わせ先】
グローバルセキュリティエキスパート株式会社 事業開発部 マーケティング担当
TEL :03-3507-1360(代)
E-mail :mktg@gsx.co.jp