NRIセキュア、スマホアプリ向けセキュリティガイドラインと設計レビューを提供

　NRIセキュアテクノロジーズ株式会社（NRIセキュア）は3日、スマートフォンアプリの設計・開発を支援する「セキュアスマートフォンアプリケーション設計・開発ガイドライン（以下、セキュア設計・開発ガイド）」および「セキュアスマートフォンアプリケーション設計レビュー（以下、セキュア設計レビュー）」の提供を開始した。

　スマートフォン市場の急速な拡大を背景に、スマートフォンアプリ特有の脆弱性を狙った攻撃や、プライバシー情報の取り扱いといった特有の脆弱性を狙った攻撃や、プライバシー情報の取り扱いといった情報セキュリティの課題が浮き彫りになっている。実害が出ればビジネス上の損失だけでなく、企業としての信用失墜につながる可能性があり、その対策は必須となっている。

　こうした状況を踏まえ、企業が安心して自社制作のスマートフォンアプリをビジネス展開できるように、すでに提供中の「スマートフォンアプリケーション診断」に加え、開発の上流工程（要件・設計）から支援するセキュア設計・開発ガイド、および開発の着手前に設計内容の問題点を確認するセキュア設計レビューを提供する。

　セキュア設計・開発ガイドは、スマートフォンアプリを設計・開発するにあたり、考慮すべきセキュリティ要件の策定を支援する。策定したガイドラインを順守してスマートフォンアプリを設計・開発することで、一定のセキュリティ水準を保った開発が可能になるという。また、開発を外部委託する際、ガイドラインを社内の開発者と社外の開発委託先とで共有することで、順守すべきセキュリティ基準を明確に示せるという。

　ガイドラインは、Android/iOSに両対応する。これにより、両OS対応のアプリを並行して開発する際に、両OSのセキュリティ基準を統一することができる。また、このガイドラインは用意されたひな形を基に、顧客の順守すべき業界標準規格や内部ポリシーを採り入れたカスタマイズ版を策定することも可能という。

　一方のセキュア設計レビューは、基本設計の段階で、開発中のスマートフォンアプリに必要なセキュリティ要件が実装されているかを確認する。

　スマートフォンアプリはライフサイクルの進行が早く、開発期間も短い傾向にあり、機能追加などのアップデートも頻繁に行われる。このため、開発工程の最終段階やアップデート後に脆弱性が発見されると、修正の手戻りが発生し、アプリの配布や機能追加の計画に影響が出る恐れがある。

　これを防ぐために、NRIセキュアのセキュリティコンサルタントが「スマートフォンアプリケーション診断」の評価項目に沿って、開発担当者に設計内容のインタビューを実施。考慮すべきセキュリティ上のリスクについて助言する。また、アプリの配布後に「スマートフォンアプリケーション診断」を実施して、実装以降の工程で作り込まれる問題点を洗い出し、配布するスマートフォンアプリのセキュリティ水準をさらに高められるとしている。