セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

Secure Coding Checker®

Inspection & Consulting

モバイルアプリケーションの開発支援ツール

iOS/Androidアプリをクラウド上のWebポータルへアップロードするだけでセキュリティ上の問題点を発見し、原因と修正案を提示する開発支援ツールです。検査基準は、OWASP「MASVS」「MSTG」を取り込んだ当社独自のガイド、および、JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しています。

無料トライアル

サービスの強み

モバイルアプリの問題点を素早く、網羅的に検査

Secure Coding Checkerは、アプリをアップロードするだけの簡単操作でデファクトスタンダードに準拠した網羅的な検査が完了します。いつでも何度でも月7万円から利用できるため、アプリ開発の早期段階や出荷直前のチェックなど、手軽に繰り返し検査できます。これにより開発コストの削減と、迅速な開発をサポートします。

カンタン、低コストで、高品質なセキュリティ検査を実現

  1. 環境準備が不要
    検査環境をSaaS方式で提供しているため、利用者が準備する必要がありません。
    開発したアプリのAPK/AAB/IPAファイルをWebブラウザからアップロードするだけの簡単操作で検査ができます。
  2. 高品質な検査が可能
    OWASP「MASVS」「MSTG」を取り込んだ当社独自のガイド、および、JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」に100%準拠しており、網羅的な検査が可能です。また、最新のガイドに沿ったアップデートによって、いつでも最新の検査が行なえます。
  3. 月7万円から何度でも検査可能
    基本プランでは、月7万円で10本までのアプリを回数無制限で検査可能となっています。なお、30日間の無料トライアルではメインとなる検査機能を2アプリ分・回数無制限で利用可能です。

サービスについて

Secure Coding Checkerは、モバイルアプリにおけるセキュリティ基準のデファクトスタンダードであるOWASPの「MASVS」「MSTG」を取り込んだ当社独自のガイド「モバイルアプリケーションのセキュリティ設計ガイド」(以下、MASDG)、および、JSSECの「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しています。ガイドは2012年6月以降、随時更新を重ねており、Secure Coding Checkerもその更新に合わせてバージョンアップを続けています。将来にわたって検査の質を保つことができます。

Androidアプリのセキュア設計・セキュアコーディングガイド

開発者に嬉しい機能

1. 開発者が効率よく問題点を修正することができる仕組み

問題のある箇所、理由の表示に加え、セキュアコーディングガイドの該当部分へのリンクが表示されるので、修正方法を素早く簡単に知ることができます。

JSSECガイドの章立てに沿って問題のある個所を一覧表示。JSSECガイドに違反した項目ごとに、違反内容について解説。JSSECガイドの読むべき箇所にピンポイントジャンプ

デモサイトで検査結果を確認できます。
登録不要の無料体験版はこちら

2. 開発途中から何度でも繰り返し検査可能。リリース直前での混乱を防ぎます。

従来は多数の脆弱性が見つかると出荷直前にまとめて脆弱性を修正。スケジュール遅延リスク。Secure Coding Checkerは設計・コーディングの間にゆとりを持って脆弱性を修正
Secure Coding Checkerは設計・コーディングの間にゆとりを持って脆弱性を修正

3. 開発者の負担を減らす、誤検知を防ぐための仕組み

一般的な脆弱性検査ツールでは、見つかった問題が本当に被害をもたらすか開発者自身が判断しなければならないのですが、これは開発者にとっては大きな負担です。Secure Coding Checkerでは、簡単な質問に答えるだけで問題点に対する判断ができる仕組みを実装し、ツールの誤検知がもたらすユーザーの負担を減らします。

4. ブラウザを経由せずに開発環境から検査可能なWebAPI機能

※ 本機能はオプション機能(有料)となります。

WebAPIを活用することで、各開発者が個別に検査しなくてもCI環境で定期的に検査が実施できるようになり、開発者工数の削減や効率化に繋がります。

APKからAPIへCurlコマンドによるAPI呼出、APIからAPKへリクエスト結果。想定利用シーン CI環境への組み込み→早期発見、検査漏れの回避、品質の向上 →開発者工数の削減 公開済みアプリの棚卸→定期検査の実現 作業の効率化→ブラウザを経由せずに検査

ゆとりをもった開発が可能に

最新のセキュリティ情報に気を配っている開発者であっても、すべてのセキュリティ情報を頭に入れることはまず無理です。その点Secure Coding Checkerはデファクトスタンダードに則っていますから、このツールに任せておけば安心です。また、このツールで指摘されてセキュリティのポイントを学ぶこともあるでしょう。時間に追われて開発していると、わかっていてもケアレスミスを起こしやすいものです。そのようなミスもこのツールを使えば回避できます。何より出荷前だけでなく、ゆとりのある時期に何度でも検査できるので、時間的に余裕をもった問題点の対応が可能になります。
iOS/Androidアプリではプライバシーやセーフティーの厳格なアプリ審査の対応が要求されるため、審査対応で苦労している方も多いのではないでしょうか。審査で確認されるようなアプリ開発のプライバシー・セーフティーに関する内容はSecure Coding Checkerでチェックできるため、審査対策のサポートとしてもご活用いただけます。Secure Coding Checkerを使っているだけで、開発時の安心感が違うと思います。

発注者に嬉しい機能

※ 発注者向け機能はオプション機能(有料)となります。

1. 複数の開発会社をお使いの場合に役立つ、アプリ発注先管理機能

複数の開発会社にアプリの開発を依頼している場合を想定し、それぞれのアプリ開発者が他のアプリの検査状況を見られないように制限をかける仕組みがあります。

発注元はすべてのアプリを一元管理可能。開発会社は自社アプリのみ参照可能

2. セキュリティ対策状況と推移が一目でわかる、グラフ表示機能

「件数推移グラフ」発注者がセキュリティ対策の進捗度をグラフで確認可能(縦軸が件数、横軸が日程)、見たい件数を見たい日をクリック。→「詳細件数グラフ」

スタッフ全員でセキュリティ状況を簡単に共有

モバイルアプリのプログラミングを外部発注している会社は少なくありません。しかし発注者と開発者でセキュリティ情報を共有するのはなかなか難しいことです。このツールを使えば、両社でアプリに求めるセキュリティの基準を統一したうえで、対応状況を共有できます。
モバイルデバイスに対する攻撃方法は年々巧妙になっています。開発の時点で「どのような基準で検査をして、どのような結果だったのか」を記録しておくことは、発注者にとっても開発者にとっても、今後はますます重要になるでしょう。

導入事例

よくあるご質問

試してみたいのですが体験版はありますか?
法人のお客様向けに、30日間の無料トライアルをご用意しています。
ご興味のある方はこちらよりお問い合わせください。
検査項目、検査内容は更新されますか?
はい、検査項目、検査内容はMASDG・JSSECのガイドラインに合わせて更新されます。
MASDG・JSSECのガイド更新に対応しますか?
はい、対応します。
難読化したアプリを検査することはできますか?
はい、検査できます。
アプリの数え方について教えてください。
アプリをパッケージ名で判別します。パッケージ名が変わらないバージョンアップについては1つのアプリとしてカウントします。
※ アプリ発注先管理機能を利用している場合、アプリ数は各グループごとにカウントします。
(同じパッケージ名のアプリでも、異なるグループで検査した場合はそれぞれ個別にカウントします。)
iOSアプリは検査できますか?
はい。Secure Coding CheckerはiOS/Androidアプリを対象としたサービスです。
Unityで開発したアプリを検査できますか?
いいえ。Unityで開発したアプリは検査対象外です。
英語版はありますか?
はい、iOS/Androidアプリ検査ともにログイン画面にて言語を切り替えることができます。
使用しているクラウドサービスは何ですか?
Microsoft Azureを使用しています。
アップロードしたAPK/AAB/IPAファイルの取扱いはどうなっていますか?
アップロードしたAPK/AAB/IPAファイルは自動的に削除されるためシステム上に保存されません。
システム上に保存されるのは検査結果、検査履歴になります。
C言語、C++言語で記述されたプログラム部分を検査しますか?
いいえ、検査対象外です。Secure Coding CheckerではAndroid版はJava言語またはKotlinで記述されたプログラムが検査対象、iOS版ではSWIFT言語が検査対象です。
オンプレミスでの提供はできますか?
はい、可能です。詳細についてはお問い合わせください。
導入にどれくらい時間がかかりますか?
ご契約後、アカウントとパスワードをお渡しすればすぐにご使用いただけます。
いろいろプランがあり、どのプランを選んでよいかわかりません。
お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。
検査をするにあたり、ソースコードの提出は必要ですか?
いいえ、必要ありません。
検査可能なアプリ数の数え方について教えてください。
検査可能なアプリ数は、月ごとに固定でカウントします。
具体的には、ある月に3本の上限枠内でA,B,Cというアプリを検査した場合、その月に検査可能なアプリはA,B,Cのみとなります。
上限枠内のアプリは月ごとに管理しているので、次月はD,E,Fと別の3本のアプリを検査することが可能です。
検査回数に上限はありますか?
いいえ。契約期間内であれば何回でも検査できます。
検査するアプリのサイズに上限はありますか?
こちらをご覧ください。
検査履歴はどのくらいの期間、件数保存されますか?
保存期間は無制限です。1つのアプリの検査履歴は1,000件まで保存されます。
検査履歴を1,000件を超えて保存したい場合は、お問い合わせください。
対象ブラウザを教えてください。
こちらをご覧ください。
ガバメントライセンス、アカデミックライセンスはありますか?
官公庁・自治体向けのガバメントライセンス、教育機関向けのアカデミックライセンスがあります。
お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。
SaaS型のサービスですが、外部の公的認証は取得されていますか?
当社はISO/IEC 27001(ISMS:情報セキュリティマネジメントシステム)の認証を取得しております。
また、Secure Coding Checkerのクラウドサービスは、ISO/IEC 27017(クラウドサービスセキュリティ)の認証も取得しております。
ログインアカウント発行数の上限はありますか?
対象アプリ数やオプションの有無に関わらず、一律で最大32ユーザー発行可能です。
サインインは二段階認証に対応していますか?
はい、Google Authenticatorによる二段階認証に対応しております。
ユーザー単位で二段階認証の有効化・無効化が可能です。

仕様

基本仕様

対象ブラウザ Microsoft Edge, Google Chrome
対象OS Windows10
対象ファイル iOS準拠アプリケーションのIPAファイル
Android準拠アプリケーションのAPKファイルおよびAABファイル
ユーザー数 最大32ユーザー
検査アプリのファイルサイズ iOS準拠アプリケーション:最大100M(実行可能ファイル:最大30M)
Android準拠アプリケーション:最大500M
検査履歴保管数 1,000件/1アプリケーション
その他条件・環境 高速なインターネット環境
最新バージョン バージョン 2024.06.04 更新履歴はこちら

価格

ご契約プラン 価格(年額)
SCC iOSアプリ対応版 基本プラン(対象アプリ数:10アプリ~) 84万円〜
SCC Androidアプリ対応版 基本プラン(対象アプリ数:10アプリ~) 84万円〜
【オプション】MASDG 50万円
【オプション】WebAPI機能 20万円
【オプション】アプリ発注先管理機能 32万円
【オプション】アプリ発注先管理機能+セキュリティパック 82万円

※ 基本プランの対象アプリ数は、10アプリ単位で購入できます。無制限プランもご用意しております。(840万円~)
※ Androidアプリ対応版基本プランはJSSEC準拠の検査機能を提供します。MASDGベースの検査機能をご希望の場合はMASDGオプションを追加可能です。
※ 「MASDG」および「WebAPI機能」オプションの提供条件として、 Androidアプリ対応版基本プランのご契約が必須となります。
※ 「アプリ発注先管理機能」および「セキュリティパック」オプションは、1契約でiOSアプリ対応版・Androidアプリ対応版どちらもご利用いただけます。
※ オプションは、ご利用期間中でも追加可能です。
※ オンプレミスをご希望の場合、Androidアプリ対応版基本プランのみ選択いただけます。価格は個別見積となり、別途設置料及び保守料が追加となります。
※ 有償サポートオプションもございます。

「Secure Coding Checker®」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top