アールワークス、スマホアプリ・Webアプリ・IoT機器の脆弱性をホワイトハッカーが手動診断するサービスを開始
- 2018/06/19 11:00
- SecurityInsight
アールワークスは6月15日、Webシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」の上位サービスとして、スマホアプリ、Webアプリ、IoT機器の脆弱性を手動で診断するイエラエセキュリティ社のサービスを「SECURE-AIDAdvanced」として提供開始することを発表した。
■「SECURE-AID Advanced」サービス概要
1.スマートフォンアプリの脆弱性診断
iOS/Androidアプリの両方で、リバースエンジニアリングでの静的診断を実施。スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行なう。
2.Webアプリの脆弱性診断
Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションに対して検査を行なう。Webアプリケーションの設計や実装、ロジック等に起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改竄、不正コードの挿入等の擬似攻撃を行ない確認する。
3.IoT機器の脆弱性診断
プロトコル診断、DoSテスト、ファームウェアテストなどを行なう。
上記のサービスを受けることにより、これらのアプリ等を提供する企業にとって、次のような課題が解決可能となるとしている。
・社内に何重もの情報管理体制を敷いて対策しているが、第三者的な観点でのセキュリティ診断を外部に依頼したい。
・複数のWebサービスやスマホアプリを展開しているため、セキュリティ診断の仕方が異なり負担が大きい。
・IoT製品/サービスのセキュリティ診断を委託できる会社がない。
・セキュリティ診断の質を保ちながら、コストを抑えたい。
・セキュリティ診断の豊富な実績を持った会社に委託したい。