スマートフォンからのネット接続が日常化している昨今、モバイルアプリの脆弱性に起因する情報漏洩、アプリの不正利用のリスクが高まっています。NowSecure Platformは、業界標準に準拠するモバイルアプリセキュリティの自動検査サービスです。Android／iOSアプリをポータルからクラウド上のプラットフォームにアップロードするだけで、セキュリティ検査を自動的に行い、アプリの脆弱性、修復方法を提示します。
※NowSecure Platformは、米国のNowSecure, Inc.が提供するサービスです。

NowSecure Platformでは、モバイルアプリのセキュリティ検査をウェブポータルから実行し、過去の結果を含めて統合管理することができます。

コンパイルされたバイナリファイルをアップロードするだけで、自動解析エンジンにより、静的および動的なセキュリティ検査を行うことができます。ソースコードは不要なので、検査に手間がかかりません。

モバイルアプリの検査をSDLC（ソフトウェア開発ライフサイクル）に直接組み入れることが可能で、開発チームのメンバーは、普段使いなれた開発支援ツール（CI/CDツール等）からアプリの脆弱性の詳細、リスクスコアの変化をいつでも閲覧できます。

NowSecure Platformをご利用いただくことで、チームとしてアプリの品質向上に役立てることができます。

アプリをプラットフォームにアップロードするだけで、正確なセキュリティ検査を繰り返し実施できます。アプリ開発工程はもちろんのこと、外部に開発委託したアプリの受け入れ検査にも利用できます。また、ストアに公開されているアプリを社用端末にインストール許可するかどうかの、判断基準として活用することもできます。

自動解析エンジンでは、アップロードされたAndroid（.apk）およびiOS（.ipa）のバイナリがスマートフォン実機にインストールされ、静的解析のほか、アプリを動作させながら、動的解析、インタラクティブ解析、APIセキュリティの解析を行います。

検査は全自動で行われ、検査が完了すると、ポータル画面に、発見された脆弱性の詳細、修復方法をグラフィカルに表示します。実機でアプリを動作させるため、誤判定（フォールスポジティブ）は限りなくゼロに近く、手動のペネトレーションテスト（ペンテスト）並みの正確さで検査が可能です。

NowSecure Platformは、主要なCI/CDツールと連携可能です。開発工程で日常的に利用しているツールから、プラットフォームを利用できます。

CI/CDビルドツール: Cloudbees Jenkins、Microsoft Azure DevOps、CircleCI、GitLab、GitHub
バグトラッキングシステム: Atlassian Jira、GitHubなど
脆弱性管理システム: Brinqa、ThreadFix

CVSSセキュリティ深刻度スコアで優先付けされ、業界標準(*)に対応した、正確かつ詳細な検査レポートが数分で生成されます。また、CVSSにもとづくNowSecure独自の指標により、アプリ全体のリスクのスコアを表示しますので、開発チームの正確な判断、機敏な対応につながります。

(*)OWASP Mobile Top 10、OWASP MASVS、GDPR、CCPA、NIAP、ioXt、PCIほか

自動解析エンジンは、Frida、Radareなどのオープンソースツールと、NowSecureの先進的な独自技術の組み合わせにより実現したものです。

NowSecure Platformは、NowSecureが独自に開発した、全自動の解析エンジンの技術がベースになっています。その最先端の技術は、オープンソースコミュニティから選び抜いた優れたツールと、NowSecureの独自技術を組み合わせて実現しています。

NowSecure解析エンジンの最大の特徴は、エミュレータのような制限なしに、モバイル端末の実機上で、より正確なカバー範囲でモバイルアプリセキュリティの動的解析を自動的に実施できることです。

動的テスト（DAST: Dynamic Application Security Testing）では、アプリ実行時にアプリのバイナリを検査しつつ、メモリ、ストレージ、ネットワーク通信をテストし、アプリが安全な状態に保たれているかを判断します。

加えて、サーバーとの通信のためのAPIをチェックし、ログインクレデンシャル（ID、パスワード）のような機微なデータが、暗号化されていない状態でネットワーク経由でバックエンドに発信されていないかをチェックします。

上述のように、攻撃者と同様にアプリを実行して、攻撃対象となる領域を俯瞰し脆弱性を検証しますので、誤検知（フォールスポジティブ）がほとんどない状態で、網羅的に脆弱性を検出します。

脆弱性の中には定量化しにくいものもありますが、NowSecure Platformは、チームが目標とするアプリのセキュリティ水準（ベースライン）を設定できるよう、全体的な統合セキュリティスコアを提供します。これによりアプリセキュリティの改善経緯を追跡管理できます。個々の脆弱性はCVSS（セキュリティリスク評価の標準手法）で深刻度が数値化されます。

NowSecure Platformによるアプリ検査結果は、ウェブブラウザ、PDFで閲覧できます。また、Atlassian Jira、GitHubのようなバグトラッキングシステム、Brinqa、ThreadFixのような脆弱性管理システムに、API連携を通して出力できます。全ての検査データはRestful API、JSON経由で取得可能です。

検査結果は、見やすくグラフィカルにフォーマットされており、以下の内容を含みます。

主要なブラウザ（Chrome, Firefox, Safari, Microsoft Edgeなど）からご利用いただけます。
連携可能な開発支援ツールの詳細は、お問合わせください。

アプリの稼働OSごとに、1アプリバイナリ当たりの年間ライセンス（利用回数無制限）となります。詳しくはお問合わせください。

NowSecure, Inc.は米国シカゴに本社を置く、モバイルアプリ向けのセキュリティソフトウェア企業です。アジャイル開発、DevSecOps環境に必要なスピード、正確さ、効率性を備えた完全自動型のモバイルアプリセキュリティテストソリューションならびにペネトレーションテストサービスを提供しています。

2009年にモバイルフォレンジックの専門企業として設立以来、一貫してモバイルセキュリティに取り組んでおり、米国トップクラスの金融機関をはじめとして、多くの企業、政府機関等から信頼を得ています。
詳しくは、www.nowsecure.com をご覧ください。