スマホアプリ・Webアプリ・IoT機器の脆弱性を ホワイトハッカーが手動診断する「SECURE-AID Advanced」の提供を開始
[18/06/15]
提供元:PRTIMES
提供元:PRTIMES
〜高精度な診断技術を誇る(株)イエラエセキュリティのホワイトハッカーが診断します〜
株式会社アールワークス(本社:東京都新宿区、代表取締役社長:池田豊、以下アールワークス)は、Webシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」を2017年から提供していますが、この度、この上位サービスとして、スマホアプリ、Webアプリ、IoT機器の脆弱性を手動で診断する株式会社イエラエセキュリティ(本社:東京都渋谷区、代表取締役:牧田 誠、以下イエラエセキュリティ)のサービスを『SECURE-AID Advanced』として、6月15日(金)から提供を開始します。
多くの個人情報を扱うスマホアプリやWebアプリのほか、近年、急速に浸透してきているIoT機器の脆弱性を狙ったサイバー攻撃など、日常生活に欠かせないツールのセキュリティへの不安が高まっており、これらを提供する企業にとって、セキュリティの確保は極めて重要です。
そこで、ホワイトハッカー集団であるイエラエセキュリティによるセキュリティ診断サービスを『SECURE-AID Advanced』として提供を開始することとし、これにより、効果的・効率的に高度なセキュリティを確保することが可能となります。
[画像1: https://prtimes.jp/i/5179/1188/resize/d5179-1188-162403-0.jpg ]
■『SECURE-AID Advanced』サービス概要
1)スマートフォンアプリの脆弱性診断
iOS/Android アプリの両方で、リバースエンジニアリングでの静的診断を実施します。
スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行います。
[画像2: https://prtimes.jp/i/5179/1188/resize/d5179-1188-703225-1.jpg ]
アプリ解析
・データ共有機能のアクセス不備
・アプリ連携機能のアクセス制御不備
・WebViewの脆弱性有無
・難読化の有無
・ソースコードへの重要情報出力有無
端末データの検査
・端末内のデータの不備
・端末内データ改ざんによる不正行為
・パーミッションの不備
・SDカードへの機密情報の出力
・ログへの機密情報の出力
APIサーバーへの通信内容の検査
・不正通信の確認
・サーバー環境の不備
・セッション管理
・エラー処理状況
・通信路の問題
2)Webアプリの脆弱性診断
Java, PHP, Perl, Ruby などで開発されたWebアプリケーションに対して検査を行います。Webアプリケーションの設計や実装、ロジック等に起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認します。
3)IoT機器の脆弱性診断
プロトコル診断、DoSテスト、ファームウェアテストなどを行います。
※『SECURE-AID Advanced』の料金につきましては、診断対象範囲などによって、見積を行います。
■解決可能な課題
上記のサービスを受けることにより、これらのアプリ等を提供する企業にとって、次のような課題が解決可能となります。
・社内に何重もの情報管理体制を敷いて対策しているが、第三者的な観点でのセキュリティ診断を外部に依頼したい。
・複数のWebサービスやスマホアプリを展開しているため、セキュリティ診断の仕方が異なり負担が大きい。
・IoT製品/サービスのセキュリティ診断を委託できる会社がない。
・セキュリティ診断の質を保ちながら、コストを抑えたい。
・セキュリティ診断の豊富な実績を持った会社に委託したい。
■イエラエセキュリティについて(https://ierae.co.jp/)
株式会社イエラエセキュリティはスマートフォンアプリやWebサービスのセキュリティ診断業務に特化したホワイトハッカーで構成されたセキュリティ脆弱性診断企業です。経済産業省主催のCTFチャレンジジャパンや、世界最大のハッキングイベントDFECON CTFで好成績を残したホワイトハッカーチームのメンバーが中心となり創業。 高精度の診断技術を有するハッカーの診断能力が認められ、大手企業やセキュリティベンダからセキュリティ診断業務を受けています。
■SECURE-AID について
脆弱性診断ツールによるWebシステムの定期的な脆弱性診断、当社エンジニアによる診断結果のお客様システムへ与える影響度と対策の分析、脆弱性の解消までを一括代行するサービスです。脆弱性診断は、1FQDN月額1,000円(税抜)から利用可能であり、SECURE-AID Advanced で重点的に診断したあと、SECURE-AIDで定期診断を実施する、といった方法でも利用可能です。
■アールワークスについて(https://www.rworks.jp/)
本社所在地:東京都新宿区揚場町1-18 飯田橋ビル6F
設立:2000年10月(創業 1985年3月、株式会社アステック)
代表者:代表取締役社長 池田 豊
資本金:4億2,540万円
事業内容:2001年から24時間365日のシステム運用監視サービスを提供。
・阪急阪神ホールディングスグループ所属
・APNスタンダードコンサルティングパートナー
・IDCFテクノロジーパートナー、IDCFクラウドパートナー
・GMOクラウドソリューションパートナー
※本リリースに記載する会社名、商品名、ブランド名等は、各社の商号、登録商標または商標です。
阪急阪神ホールディングス http://www.hankyu-hanshin.co.jp/
リリース http://www.hankyu-hanshin.co.jp/file_sys/news/6025_8f8ee43961c3d5c0bc73c5f4c3849b090d761851.pdf
発行元:阪急阪神ホールディングス
大阪市北区芝田1-16-1
株式会社アールワークス(本社:東京都新宿区、代表取締役社長:池田豊、以下アールワークス)は、Webシステムの脆弱性診断から脆弱性解消までを一括代行する「SECURE-AID」を2017年から提供していますが、この度、この上位サービスとして、スマホアプリ、Webアプリ、IoT機器の脆弱性を手動で診断する株式会社イエラエセキュリティ(本社:東京都渋谷区、代表取締役:牧田 誠、以下イエラエセキュリティ)のサービスを『SECURE-AID Advanced』として、6月15日(金)から提供を開始します。
多くの個人情報を扱うスマホアプリやWebアプリのほか、近年、急速に浸透してきているIoT機器の脆弱性を狙ったサイバー攻撃など、日常生活に欠かせないツールのセキュリティへの不安が高まっており、これらを提供する企業にとって、セキュリティの確保は極めて重要です。
そこで、ホワイトハッカー集団であるイエラエセキュリティによるセキュリティ診断サービスを『SECURE-AID Advanced』として提供を開始することとし、これにより、効果的・効率的に高度なセキュリティを確保することが可能となります。
[画像1: https://prtimes.jp/i/5179/1188/resize/d5179-1188-162403-0.jpg ]
■『SECURE-AID Advanced』サービス概要
1)スマートフォンアプリの脆弱性診断
iOS/Android アプリの両方で、リバースエンジニアリングでの静的診断を実施します。
スマートフォンアプリは、サーバー上のAPIとスマートフォン内のクライアントアプリによって構成されているため、サーバー上のアプリとクライアントアプリの両方に対して脆弱性診断を行います。
[画像2: https://prtimes.jp/i/5179/1188/resize/d5179-1188-703225-1.jpg ]
アプリ解析
・データ共有機能のアクセス不備
・アプリ連携機能のアクセス制御不備
・WebViewの脆弱性有無
・難読化の有無
・ソースコードへの重要情報出力有無
端末データの検査
・端末内のデータの不備
・端末内データ改ざんによる不正行為
・パーミッションの不備
・SDカードへの機密情報の出力
・ログへの機密情報の出力
APIサーバーへの通信内容の検査
・不正通信の確認
・サーバー環境の不備
・セッション管理
・エラー処理状況
・通信路の問題
2)Webアプリの脆弱性診断
Java, PHP, Perl, Ruby などで開発されたWebアプリケーションに対して検査を行います。Webアプリケーションの設計や実装、ロジック等に起因して、ネットワークを経由して不正侵入や情報漏洩、サービス不能に悪用することのできる脆弱性がないか、実際にネットワークを経由して不正な値の入力や、リクエスト改ざん、不正コードの挿入等の擬似攻撃を行い確認します。
3)IoT機器の脆弱性診断
プロトコル診断、DoSテスト、ファームウェアテストなどを行います。
※『SECURE-AID Advanced』の料金につきましては、診断対象範囲などによって、見積を行います。
■解決可能な課題
上記のサービスを受けることにより、これらのアプリ等を提供する企業にとって、次のような課題が解決可能となります。
・社内に何重もの情報管理体制を敷いて対策しているが、第三者的な観点でのセキュリティ診断を外部に依頼したい。
・複数のWebサービスやスマホアプリを展開しているため、セキュリティ診断の仕方が異なり負担が大きい。
・IoT製品/サービスのセキュリティ診断を委託できる会社がない。
・セキュリティ診断の質を保ちながら、コストを抑えたい。
・セキュリティ診断の豊富な実績を持った会社に委託したい。
■イエラエセキュリティについて(https://ierae.co.jp/)
株式会社イエラエセキュリティはスマートフォンアプリやWebサービスのセキュリティ診断業務に特化したホワイトハッカーで構成されたセキュリティ脆弱性診断企業です。経済産業省主催のCTFチャレンジジャパンや、世界最大のハッキングイベントDFECON CTFで好成績を残したホワイトハッカーチームのメンバーが中心となり創業。 高精度の診断技術を有するハッカーの診断能力が認められ、大手企業やセキュリティベンダからセキュリティ診断業務を受けています。
■SECURE-AID について
脆弱性診断ツールによるWebシステムの定期的な脆弱性診断、当社エンジニアによる診断結果のお客様システムへ与える影響度と対策の分析、脆弱性の解消までを一括代行するサービスです。脆弱性診断は、1FQDN月額1,000円(税抜)から利用可能であり、SECURE-AID Advanced で重点的に診断したあと、SECURE-AIDで定期診断を実施する、といった方法でも利用可能です。
■アールワークスについて(https://www.rworks.jp/)
本社所在地:東京都新宿区揚場町1-18 飯田橋ビル6F
設立:2000年10月(創業 1985年3月、株式会社アステック)
代表者:代表取締役社長 池田 豊
資本金:4億2,540万円
事業内容:2001年から24時間365日のシステム運用監視サービスを提供。
・阪急阪神ホールディングスグループ所属
・APNスタンダードコンサルティングパートナー
・IDCFテクノロジーパートナー、IDCFクラウドパートナー
・GMOクラウドソリューションパートナー
※本リリースに記載する会社名、商品名、ブランド名等は、各社の商号、登録商標または商標です。
阪急阪神ホールディングス http://www.hankyu-hanshin.co.jp/
リリース http://www.hankyu-hanshin.co.jp/file_sys/news/6025_8f8ee43961c3d5c0bc73c5f4c3849b090d761851.pdf
発行元:阪急阪神ホールディングス
大阪市北区芝田1-16-1