Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

アールワークス、スマホアプリ・Webアプリ・IoT機器の脆弱性をホワイトハッカーが診断するサービスを提供開始

2018/06/15 15:45

 アールワークスは、Webシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」を2017年から提供しているが、その上位サービスとして、スマホアプリ、Webアプリ、IoT機器の脆弱性を手動で診断するイエラエセキュリティのサービスを「SECURE-AID Advanced」として、6月15日から提供すると発表した。

「SECURE-AID Advanced」サービス概要

 1. スマートフォンアプリの脆弱性診断

 iOS/Androidアプリ両方でリバースエンジニアリングでの静的診断を実施。スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行う。

 ・アプリ解析:データ共有機能のアクセス不備/アプリ連携機能のアクセス制御不備/WebViewの脆弱性有無/難読化の有無/ソースコードへの重要情報出力有無

 ・端末データの検査:端末内のデータの不備/端末内データ改ざんによる不正行為/パーミッションの不備/SDカードへの機密情報の出力/ログへの機密情報の出力

 ・APIサーバーへの通信内容の検査:不正通信の確認/サーバー環境の不備/セッション管理/エラー処理状況/通信路の問題

 2. Webアプリの脆弱性診断

 Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を行う。Webアプリケーションの設計や実装、ロジック等に起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認。

 3. IoT機器の脆弱性診断

 プロトコル診断、DoSテスト、ファームウェアテストなどを実施。

 イエラエセキュリティは、スマートフォンアプリやWebサービスのセキュリティ診断業務に特化したホワイトハッカーで構成されたセキュリティ脆弱性診断企業。経済産業省主催のCTFチャレンジジャパンや、世界最大のハッキングイベント「DFECON CTF」で好成績を残したホワイトハッカーチームのメンバーが中心となり創業。高精度の診断技術を有するハッカーの診断能力 が認められ、大手企業やセキュリティベンダからセキュリティ診断業務を受けているという。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5