アールワークス、スマホアプリ・ウェブアプリ・IoT機器の脆弱性をホワイトハッカーが手動診断する「SECURE-AID Advanced」を提供開始

　株式会社アールワークスは15日、ウェブシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」の上位サービスとして、スマートフォンアプリ、ウェブアプリ、IoT機器の脆弱性を手動で診断する株式会社イエラエセキュリティのサービスを「SECURE-AID Advanced」として提供を開始した。

　SECURE-AID Advancedは、スマートフォンアプリやウェブサービスのセキュリティ診断業務に特化したイエラエセキュリティのホワイトハッカーにより、スマートフォンアプリ、ウェブアプリ、IoT機器の脆弱性の診断を行うサービス。

　スマートフォンアプリについては、iOS/Androidアプリに対してリバースエンジニアリングでの静的診断を実施。また、スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行う。

　アプリ解析では、データ共有機能のアクセス不備や、アプリ連携機能のアクセス制御不備、WebViewの脆弱性有無、難読化の有無、ソースコードへの重要情報出力有無などを診断。端末データについては、端末内のデータの不備、端末内データ改ざんによる不正行為、パーミッションの不備、SDカードへの機密情報の出力、ログへの機密情報の出力などを検査。APIサーバーへの通信内容については、不正通信の確認、サーバー環境の不備、セッション管理、エラー処理状況、通信路の問題などの検査を行う。

　ウェブアプリの脆弱性診断については、Java、PHP、Perl、Rubyなどで開発されたウェブアプリケーションに対して、アプリケーションの設計や実装、ロジックなどに起因して、ネットワークを経由して不正侵入や情報漏えい、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入などの擬似攻撃を行い、確認する。

　IoT機器の脆弱性診断については、プロトコル診断、DoSテスト、ファームウェアテストなどを行う。

　SECURE-AID Advancedの料金は、診断対象範囲などによって見積もりを行う。