HOME > 検証サービス・ツール > セキュリティ・コンプライアンス > Tao RiskFinder

Androidアプリ脆弱性診断ツール - Tao RiskFinder -

Androidアプリ脆弱性診断ツール - Tao RiskFinder - Androidアプリ開発知識やソースコードファイル不要。アプリケーションファイルとブラウザを準備するだけで、簡単にAndoirdアプリの脆弱性診断結果が得られるサービスです。 Android(アンドロイド)の急速な普及に伴い、現在多くのアプリケーションがリリースされています。市場が急速に広がったためにAndroid(アンドロイド)に精通した技術者が不足しているのが現状です。 Tao RiskFinderは、経験の十分でない技術者がアプリ開発に携わる状況において、アプリをツールで診断することにより、セキュリティやソフトウェア品質面を一定の品質に維持することができます。

検出項目/レポート出力項目の代表例

  • 日本スマートフォンセキュリティ協会(JSSEC)のセキュアコーディングガイドの情報を網羅
  • IPA(情報処理推進機構)から発行されているセキュリティ情報を網羅
  • 総務省の「スマートフォン プライバシー イニシアティブ」に準拠するための情報を出力可能

その他、詳しくはお問い合わせください。

こんな方にお勧めします

  • Androidアプリケーション開発者
  • Androidアプリケーション発注者
  • 社内システム管理者

こんな悩みを解決します

  • Androidアプリを多数所有しており、バージョンアップ時などにセキュリティチェックを簡単に実施したい。
  • Androidアプリの開発をしているが、セキュリティ面でのチェックを第三者的な視点から実施したい。
この検証ツールについてのお問い合わせ

PAGE TOP

特長

ブラウザでファイルをアップロードするだけなので、誰でも使用できます。

事前準備は必要ありません。アプリ開発の知識も不要です。診断したいアプリのファイルとブラウザがあれば、誰でも簡単に脆弱性診断を行うことが出来ます。 Tao RiskFinderを使用してアプリを診断する事で、技術者のレベルに左右されない安定した品質のアプリを作成できます。 また、出力したレポートは、脆弱性やプライバシー保護に関する検査記録として納品することも出来ます。

Androidアプリ脆弱性診断ツールTao RiskFinder イメージ図

アプリファイルのみで診断可能。ソースコードは不要です。

ソースコードが入手できないアプリでも診断できます。 アプリが使用しているライブラリ(広告モジュール)についても簡単に診断できます。

脆弱性を指摘するだけでなく、対処方法も提示します。

診断結果には、検出された問題に対する具体的な対処方法まで記載されています。 レポートを参照すれば、解決のために何をすれば良いかが簡単に理解できます。

Androidアプリ脆弱性診断ツールTao RiskFinder 解析結果サンプル

「脆弱性」に加え「マルウェアと間違えられやすい項目」や「品質に関する項目」も検出します。

無駄なPermissionや、不要な機能が含まれていることで、 マルウェアと誤解されてしまうアプリも多く存在します。 このようなアプリの品質に関するチェックも行います。

Androidの最新情報に素早く対応します。

受託開発、研究開発と平行して、常にAndroidの最新の情報を追いかけています。Tao RiskFinderにも最新の情報、ノウハウが反映されます。

PAGE TOP

検出項目一覧(一部抜粋)

脆弱性に関する項目
・Activityの脆弱性 ・Serviceの脆弱性 ・ContentProviderの脆弱性 ・BroadcastReceiverの脆弱性 ・AndroidManifest.xmlの脆弱性 ・使用できないPermission ・不要なPermission ・外部記憶装置へのアクセス ・ファイルのアクセス制限不備 ・Log出力メソッドの使用 ・JavaScriptが使用可能なWebView ・JavaScriptを使用しているAsset内HTMLファイル ・SSL通信時の証明書検証不備 ・アプリ内に含まれているURL ・安全性の低い暗号化ロジック ・プログラム内に組み込まれているライブラリの問題 etc…
品質に関する項目
・誤った証明書の使用 ・AndroidManifest.xml内の不要な項目 ・デバッグモードの設定 ・OSバージョン固有の問題 ・廃止されたAPIの使用 ・プライバシーに配慮が必要な処理 ・Android推奨ルールからの逸脱 ・実行時エラーとなる可能性 etc…
マルウェアと疑われる可能性のある項目
・グレーゾーンアプリの疑いのあるPermissionの使用 ・危険なPermissionの使用 ・広告ライブラリの使用 ・危険なライブラリの使用 ・グレーゾーンのライブラリ使用 etc…

PAGE TOP

ご利用シーン

アプリ開発時の品質担保

開発担当者の意識や経験に依存してセキュリティやプライバシー保護に関する実装をしていては、アプリの品質を維持することは出来ません。 Tao RiskFinderを使用してアプリを診断する事で、技術者のレベルに左右されない安定した品質のアプリを作成できます。また、出力したレポートは、脆弱性やプライバシー保護に関する検査記録として納品することも出来ます。

開発委託したアプリの受け入れ検査

アプリ開発を外部に委託した場合、委託側は納品されたアプリを検査することになります。委託側には通常、専門知識を持った技術者がいないため、脆弱性や利用者のプライバシー保護等について検査することは困難です。 Tao RiskFinderが出力する診断レポートを使用すれば、委託側と開発側が的確なコミュニケーションをとれるようになり、利用者が安心して利用できるアプリをリリースできます。

社内導入アプリの決定

社内導入するアプリを選定する場合、そのアプリがマルウェアでないことや、脆弱性がないことを確認する必要があります。 Tao RiskFinderを使用してアプリを診断することで、マルウェアやグレーゾーン(利用者の個人情報を使用するが目的が不明)のアプリを検出でき、アプリの採用/不採用の判断材料を得ることができます。

掲載アプリの選定(アプリ紹介サイト・書籍紹介)

アプリの紹介サイトや書籍で紹介されたアプリは優良なアプリとして推薦されたものとして、多くの利用者が使用します。サイトの運営者や書籍の編集者は、掲載するアプリが安心、安全なのものであることを確認することが必要です。 Tao RiskFinderを使ってアプリを診断する事でアプリの問題を把握できるので、マルウェアや不適切なアプリを誤って紹介してしまうような事態を未然に防ぐことができます。

PAGE TOP

ご利用形態・価格構成

価格は、サーバー利用費(年間)と検査費(有効期限 1年)にて構成します。

サーバー利用費(年間)

ご利用形態 価格 概要
パブリッククラウド 初年度:100,000円(初期費) 2年目以降:70,000円 (アカウント維持費) クラウド上に構築しているサーバを複数のお客様で共有していただく形式です。 •規定のサーバ設定でご利用いただきます。 •ユーザアカウントをご提供します。 •他のユーザ様の利用状況によりサーバのレスポンスが影響を受けることがあります。 •お客様の情報が他のお客様に参照されることはありません。
プライベートクラウド 初年度:200,000円(初期費) 2年目以降:140,000円(アカウント維持費) お客様専用のサーバをクラウド上に構築します。 •お客様指定のアクセス制御を設定し、想定外のサーバアクセスが発生しないようにします。 •お客様のセキュリティポリシに合わせてサーバを構築します。 •サーバ構築費用が発生します(別途、お見積もり)。 •ユーザアカウントはお客様が自由に発行することができます。 ※サーバ構築費用が発生します。詳細はお問い合わせください。
オンプレミス 初年度:500,000円(初期費) 2年目以降:350,000円 (アカウント維持費) お客様が所有するネットワーク上にサーバを構築して利用していただく形式です。 •サーバ構築費用が発生する場合があります(ご相談ください)。 •ユーザアカウントはお客様が自由に発行することができます。 •弊社側からの利用状況確認を行えるよう、弊社とサーバの間に通信経路を確保いただきます。 ※サーバ構築費用が発生する場合があります。利用状況確認のため、サーバと弊社の間に通信が必要となります。

検査費(有効期限 1年)

検査費には以下の2タイプの課金形式があります。初回契約時にどちらかの種別のチケットを、1年間の予想使用回数分ご購入ください。チケットの有効期限は1年となります。

課金形式 価格 概要
アプリケーション単位課金 100,000円/1本(30日間有効) 検査対象となるアプリケーションに対して課金が発生する形式です。 検査期間(初回検査から30日間)中は検査回数の制限はありません。 検査回数が多く、かつ検査対象アプリの本数が少ない場合に向いています。 ※別途、初期費、アカウント維持費が必要となります。詳細はお問い合わせください。
検査回数課金 50,000円/1回 検査1回単位に課金が発生する形式です。 検査対象、または検査回数の大きな増減が見込まれる場合に向いています。 (多数のアプリを頻繁に検査するような場合は、ご相談ください。)

ご購入例

  • ①パブリッククラウドを利用して、3アプリケーションの場合
  •  【初年度:】 100,000円(年間費用)+3(アプリケーション)×100,000円(1本30日間有効)=400,000円
  •  【2年目以降:】 70,000円(年間費用)+3(アプリケーション)×100,000円(1本30日間有効)=370,000円
  • ②プライベートクラウドを利用して、10回の検査の場合
  •  【初年度:】 200,000円(年間費用)+10(回)×50,000円(1年間有効)=700,000円
  •  【2年目以降:】 140,000円(年間費用)+10(回)×50,000円(1年間有効)=640,000円

Tao RiskFinder」についてのお問い合わせはこちら

この検証ツールについてのお問い合わせ

このページを見た人が一緒に閲覧しているページ

スマートフォンアプリケーションセキュリティ診断

スマートフォンアプリケーションセキュリティ診断

iOS・Androidアプリ本体/サーバー側の脆弱性を検出、対応策もサポート
Androidアプリ不正改ざん検知ソリューション

Androidアプリ不正改ざん検知ソリューション

Androidアプリの不正改竄・解析をブロック。万が一の改竄も起動抑制

仕様書・設計書検証

セキュリティ・コンプライアンス

システム機能検証

テスト自動化

テストプロセス改善

ソースコード検証

システム負荷検証

測定サービス・ツール

管理・監視・運用

開発者支援

認証審査