モバイルアプリセキュリティ自動検査サービス
NowSecure Platform (ナウセキュア プラットフォーム)
スマートフォンからのネット接続が日常化している昨今、モバイルアプリの脆弱性に起因する情報漏洩、アプリの不正利用のリスクが高まっています。NowSecure Platformは、業界標準に準拠するモバイルアプリセキュリティの自動検査サービスです。Android/iOSアプリをポータルからクラウド上のプラットフォームにアップロードするだけで、セキュリティ検査を自動的に行い、アプリの脆弱性、修復方法を提示します。
※NowSecure Platformは、米国のNowSecure, Inc.が提供するサービスです。
NowSecure Platform 概要
NowSecure Platformでは、モバイルアプリのセキュリティ検査をウェブポータルから実行し、過去の結果を含めて統合管理することができます。
コンパイルされたバイナリファイルをアップロードするだけで、自動解析エンジンにより、静的および動的なセキュリティ検査を行うことができます。ソースコードは不要なので、検査に手間がかかりません。
モバイルアプリの検査をSDLC(ソフトウェア開発ライフサイクル)に直接組み入れることが可能で、開発チームのメンバーは、普段使いなれた開発支援ツール(CI/CDツール等)からアプリの脆弱性の詳細、リスクスコアの変化をいつでも閲覧できます。
NowSecure Platformをご利用いただくことで、チームとしてアプリの品質向上に役立てることができます。
|
NowSecure Platform 概要 |
NowSecure Platform の特長
簡単操作でアプリのセキュリティを全自動検査
アプリをプラットフォームにアップロードするだけで、正確なセキュリティ検査を繰り返し実施できます。アプリ開発工程はもちろんのこと、外部に開発委託したアプリの受け入れ検査にも利用できます。また、ストアに公開されているアプリを社用端末にインストール許可するかどうかの、判断基準として活用することもできます。
ペネトレーションテスト同様にスマートフォン実機を使った静的・動的解析
自動解析エンジンでは、アップロードされたAndroid(.apk)およびiOS(.ipa)のバイナリがスマートフォン実機にインストールされ、静的解析のほか、アプリを動作させながら、動的解析、インタラクティブ解析、APIセキュリティの解析を行います。
検査は全自動で行われ、検査が完了すると、ポータル画面に、発見された脆弱性の詳細、修復方法をグラフィカルに表示します。実機でアプリを動作させるため、誤判定(フォールスポジティブ)は限りなくゼロに近く、手動のペネトレーションテスト(ペンテスト)並みの正確さで検査が可能です。
主なレポート内容
・静的なバイナリ解析結果
・動的なバイナリ解析結果
・インタラクティブなバイナリ解析結果
・APIセキュリティ検査結果
・CVSSセキュリティスコア
・業界標準への適合性
・発見された脆弱性・問題点の説明
・修復方法およびコードサンプル
|
|
CI/CDツール等と容易に連携
NowSecure Platformは、主要なCI/CDツールと連携可能です。開発工程で日常的に利用しているツールから、プラットフォームを利用できます。
CI/CDビルドツール: Cloudbees Jenkins、Microsoft Azure DevOps、CircleCI、GitLab、GitHub
バグトラッキングシステム: Atlassian Jira、GitHubなど
脆弱性管理システム: Brinqa、ThreadFix
CVSSスコアなど業界標準への対応
CVSSセキュリティ深刻度スコアで優先付けされ、業界標準(*)に対応した、正確かつ詳細な検査レポートが数分で生成されます。また、CVSSにもとづくNowSecure独自の指標により、アプリ全体のリスクのスコアを表示しますので、開発チームの正確な判断、機敏な対応につながります。
(*)OWASP Mobile Top 10、OWASP MASVS、GDPR、CCPA、NIAP、ioXt、PCIほか
オープンソースを活用した独自開発の自動解析エンジン
自動解析エンジンは、Frida、Radareなどのオープンソースツールと、NowSecureの先進的な独自技術の組み合わせにより実現したものです。
NowSecure Platform の利用方法
シンプルな操作で高精度なセキュリティ検査が完了
|
1. ソースコードは不要です。ビルドされたバイナリファイル(.apkまたは.ipa)を、ウェブブラウザ、API、CI/CDプラグインの何れかを用いてプラットフォームにアップロードしてください。 |
|
NowSecure Platform の優位性
独自開発による全自動の解析エンジン技術
NowSecure Platformは、NowSecureが独自に開発した、全自動の解析エンジンの技術がベースになっています。その最先端の技術は、オープンソースコミュニティから選び抜いた優れたツールと、NowSecureの独自技術を組み合わせて実現しています。
精緻な動的解析を自動で実現
NowSecure解析エンジンの最大の特徴は、エミュレータのような制限なしに、モバイル端末の実機上で、より正確なカバー範囲でモバイルアプリセキュリティの動的解析を自動的に実施できることです。
動的テストでバイナリ検査、APIチェック
動的テスト(DAST: Dynamic Application Security Testing)では、アプリ実行時にアプリのバイナリを検査しつつ、メモリ、ストレージ、ネットワーク通信をテストし、アプリが安全な状態に保たれているかを判断します。
加えて、サーバーとの通信のためのAPIをチェックし、ログインクレデンシャル(ID、パスワード)のような機微なデータが、暗号化されていない状態でネットワーク経由でバックエンドに発信されていないかをチェックします。
誤検知が限りなくゼロに近い
上述のように、攻撃者と同様にアプリを実行して、攻撃対象となる領域を俯瞰し脆弱性を検証しますので、誤検知(フォールスポジティブ)がほとんどない状態で、網羅的に脆弱性を検出します。
統合セキュリティスコア(定量化データ)提供
脆弱性の中には定量化しにくいものもありますが、NowSecure Platformは、チームが目標とするアプリのセキュリティ水準(ベースライン)を設定できるよう、全体的な統合セキュリティスコアを提供します。これによりアプリセキュリティの改善経緯を追跡管理できます。個々の脆弱性はCVSS(セキュリティリスク評価の標準手法)で深刻度が数値化されます。
|
|
充実した検査結果レポート
レポート出力はさまざまな形式・方式に対応
NowSecure Platformによるアプリ検査結果は、ウェブブラウザ、PDFで閲覧できます。また、Atlassian Jira、GitHubのようなバグトラッキングシステム、Brinqa、ThreadFixのような脆弱性管理システムに、API連携を通して出力できます。全ての検査データはRestful API、JSON経由で取得可能です。
見やすいフォーマットで必要な情報を提供
検査結果は、見やすくグラフィカルにフォーマットされており、以下の内容を含みます。
- ・毎回の検査ごとのCVSSにもとづくアプリ全体の総合リスクスコア
- ・各脆弱性の説明およびCVSSにもとづく深刻度ランク
- ・検査中に解析エンジンが取得した、アプリのスクリーンショット
- ・各々の脆弱性に対する修復方法。コードの説明と適用可能なコードスニペット
- ・各々の脆弱性と、OWASP Mobile Top 10、NIAP、FFIEC、GDPR、PCI、HIPPAなどの業界標準への対応付けに関する情報
- ・検査実行中にアクセスされた全IPアドレス、アプリへのパーミッション要求(Android)などの参考情報
- ・ハードコードされたURL、ファイルリストなど自動検査中に取得された情報の一覧
|
|
利用環境
主要なブラウザ(Chrome, Firefox, Safari, Microsoft Edgeなど)からご利用いただけます。
連携可能な開発支援ツールの詳細は、お問合わせください。
価格について
アプリの稼働OSごとに、1アプリバイナリ当たりの年間ライセンス(利用回数無制限)となります。詳しくはお問合わせください。
NowSecure Inc. について
NowSecure, Inc.は米国シカゴに本社を置く、モバイルアプリ向けのセキュリティソフトウェア企業です。アジャイル開発、DevSecOps環境に必要なスピード、正確さ、効率性を備えた完全自動型のモバイルアプリセキュリティテストソリューションならびにペネトレーションテストサービスを提供しています。
2009年にモバイルフォレンジックの専門企業として設立以来、一貫してモバイルセキュリティに取り組んでおり、米国トップクラスの金融機関をはじめとして、多くの企業、政府機関等から信頼を得ています。
詳しくは、www.nowsecure.com
をご覧ください。
その他
- ※記載されている製品名などの固有名詞は、各社の商標または登録商標です。
- ※製品・サービスの仕様は予告なしに変更することがあります。
- ※記載内容は2021年11月現在のものです。
®