-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
Androidアプリのセキュリティを守ることがエンジニアとサービス運営者の安心につながっている
ウェブプラットフォーム、IoT、電子出版、ネットワークの4事業を展開する株式会社ACCESS(以下、ACCESS)は、顧客企業向けと自社向けの両面からAndroidアプリの開発を手掛けている。コロナ禍で開発費用の圧縮が求められる一方で、モバイルファーストの動きを背景に、建設会社向けアプリなど顧客と一緒にアプリを作る話が増えてきているという。
安全なAndroidアプリを構築、運用するためには、脆弱性を診断する必要がある。安全性の担保を人に依存することを少しでも避けたいという思いがあり、ラックが提供するウェブアプリ診断サービス「セキュアコーディングチェッカー」を2015年から、既に6年にわたって活用している。
ACCESSでスマホアプリの診断業務を担当する、品質管理部開発管理課で課長を務める楊主氏、開発本部サービス開発部位置情報コミュニケーション課 課長でCosmoSiaプロダクトマネージャーの簗瀬毅氏および同部Senior Software Engineerの金子拓哉氏に、セキュアコーディングチェッカー導入について話を聞いた。
導入理由はセキュアコーディングガイドへの準拠
6年前にさかのぼり、ACCESSがセキュアコーディングチェッカーを採用した理由は「当時、ほかに選択肢がないといっていいほど優位性を評価していた」と楊氏は話す。
特に、セキュアコーディングチェッカーが、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)の定めるAndroidアプリのセキュリティ基準を満たしていることが大きかった。JSSECは、通信キャリア、機器メーカー、システムインテグレーター、アプリケーション開発、サービス提供ベンダーなどの提供者だけでなく、利用企業や関連団体などが協調し、スマートフォンの安全な利用を促す団体だ。
導入する前からJSSECのセキュアコーディングガイドをみてチェックして開発していたため、「導入のハードルは低かった」と楊氏。Androidアプリ開発では、JSSECが標準的な考え方として浸透しているため、顧客に自社メールアプリサービスの安全性を説明する際などにも、エビデンスとして提示しやすいという。
日本製であることも大きかった。海外製が多い中で、日本製ならではの導入のしやすさ、ユーザーにとってのわかりやすさを評価した。エンジニアにとっても管理者側にとっても、日本語による分かりやすいユーザーインターフェースで指摘事項を見られることは魅力的だったという。それ以前に、他のツールでは、検出される脆弱性自体が少なかったり、指摘内容がおかしかったりといった問題があったとのこと。
さらに、自動で診断してくれることによる手軽さと使いやすさ、納得するまで何度でも繰り返し診断できる点も高く評価している。特に、「質問形式で進んで行く診断機能が気に入っている」と金子氏は述べている。
インフラ面については、セキュアコーディングチェッカーがSaaS形式で提供されるため、サーバの管理が不要であること、VPNにつながなくて良いことなどもメリットとして挙げる。
また、顧客とのやりとりではソースコードを見せられないことも多いため、APKファイルだけで検査できることは、ファイルサイズが小さいことと併せて高い利便性につながっているという。
また、簗瀬氏は「セキュアコーディングチェッカーが必要とする工数は少ないため、リスクのチェックをすばやくできる。SCCがなければこのように頻繁にチェックできないため、セキュリティリスクを抱えながらリリースすることになる」と指摘。現在、7万円のライセンスを10ライセンス保持しており、コスト面については「良心的な価格と感じている」という。今後、自社サービスを増やす意向もあるため、構築するアプリが増えればさらにライセンスを増やしていく考えだ。
いまACCESSが特に注力しているサービスが、スマートフォン向けメールアプリ「CosmoSia®(コスモシア)」だ。操作性や品質、カスタマイズ性の高さから、大手キャリアの標準メールや、仮想移動体通信事業者(MVNO)、ISPの推奨メールとして採用されている。CosmoSiaの診断も、セキュアコーディングチェッカーで実施している。
円滑に進むACCESSとラックの協業関係
ラックとACCESSは、ビジネス面で緊密な協業関係を維持している。ACCESS、ラック、富士通の3社は、サイバー保険付きのウェブ診断サービスの提供を開始している。ある調査で「修正が必要と考えられるセキュリティ上の問題点が存在するWebサイトは83%に上る」ことがわかっているという。両社の協業は、多くの企業がウェブアプリにおけるセキュリティ面の不安から解放されることにつながっていきそうだ。
導入事例のダウンロードはこちらから
お客様プロフィール
株式会社ACCESS様
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR