サービスについて
Secure Coding Checkerは、総務省推奨のAndroidアプリにおけるセキュリティ基準のデファクトスタンダードである「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しています。ガイドは2012年6月以降、随時更新を重ねており、Secure Coding Checkerもその更新に合わせてバージョンアップを続けています。将来にわたって検査の質を保つことができます。
Androidアプリのセキュア設計・セキュアコーディングガイド
開発者に嬉しい機能
1. 開発者が効率よく問題点を修正することができる仕組み
問題のある箇所、理由の表示に加え、JSSECセキュアコーディングガイドの該当部分へのリンクが表示されるので、修正方法を素早く簡単に知ることができます。
デモサイトで検査結果を確認できます。
登録不要の無料体験版はこちら
2. 開発途中から何度でも繰り返し検査可能。リリース直前での混乱を防ぎます。
3. 開発者の負担を減らす、誤検知を防ぐための仕組み
一般的な脆弱性検査ツールでは、見つかった問題が本当に被害をもたらすか開発者自身が判断しなければならないのですが、これは開発者にとっては大きな負担です。Secure Coding Checkerでは、簡単な質問に答えるだけで脆弱性に対する判断ができる仕組みを実装し、ツールの誤検知がもたらすユーザーの負担を減らします。
4. ブラウザを経由せずに開発環境から検査可能なWebAPI機能
※ 本機能はオプション機能(有料)となります。
WebAPIを活用することで、各開発者が個別に検査しなくてもCI環境で定期的に検査が実施できるようになり、開発者工数の削減や効率化に繋がります。
ゆとりをもった開発が可能に
最新のセキュリティ情報に気を配っている開発者であっても、すべてのセキュリティ情報を頭に入れることはまず無理です。その点Secure Coding Checkerはデファクトスタンダードに則っていますから、このツールに任せておけば安心です。また、このツールで指摘されてセキュリティのポイントを学ぶこともあるでしょう。時間に追われて開発していると、わかっていてもケアレスミスを起こしやすいものです。そのようなミスもこのツールを使えば回避できます。何より出荷前だけでなく、ゆとりのある時期に何度でも検査できるので、時間的に余裕をもった脆弱性対策が可能になります。Secure Coding Checkerを使っているだけで、開発時の安心感が違うと思います。
発注者に嬉しい機能
※ 発注者向け機能はオプション機能(有料)となります。
1. 複数の開発会社をお使いの場合に役立つ、アプリ発注先管理機能
複数の開発会社にアプリの開発を依頼している場合を想定し、それぞれのアプリ開発者が他のアプリの脆弱性検査状況を見られないように制限をかける仕組みがあります。
2. セキュリティ対策状況と推移が一目でわかる、グラフ表示機能
スタッフ全員でセキュリティ状況を簡単に共有
Androidアプリのプログラミングを外部発注している会社は少なくありません。しかし発注者と開発者でセキュリティ情報を共有するのはなかなか難しいことです。このツールを使えば、両社でアプリに求めるセキュリティの基準を統一したうえで、対応状況を共有できます。
スマートフォンに対する攻撃方法は年々巧妙になっています。開発の時点で「どのような基準で検査をして、どのような結果だったのか」を記録しておくことは、発注者にとっても開発者にとっても、今後はますます重要になるでしょう。
導入事例
よくあるご質問
- 試してみたいのですが体験版はありますか?
- 法人のお客様向けに、30日間の無料トライアルをご用意しています。
ご興味のある方はこちらよりお問い合わせください。 - 検査項目、検査内容は更新されますか?
- はい、検査項目、検査内容はJSSECのガイドラインに合わせて更新されます。
- JSSECのガイド更新に対応しますか?
- はい、対応します。
- 難読化したアプリを検査することはできますか?
- はい。
- アプリの数え方について教えてください。
- アプリをパッケージ名で判別します。パッケージ名が変わらないバージョンアップについては1つのアプリとしてカウントします。
※ アプリ発注先管理機能を利用している場合、アプリ数は各グループごとにカウントします。
(同じパッケージ名のアプリでも、異なるグループで検査した場合はそれぞれ個別にカウントします。) - iOSアプリは検査できますか?
- いいえ。Secure Coding CheckerはAndroidアプリを対象としたサービスです。
- Unityで開発したアプリを検査できますか?
- いいえ。Unityで開発したアプリは検査対象外です。
- 英語版はありますか?
- はい。ログイン画面にて言語を切り替えることができます。
- Webベースの検査サービスとのことですが、使用しているクラウドサービスは何ですか?
- Microsoft Azureを使用しています。
- アップロードしたApkファイルの取扱いはどうなっていますか?
- アップロードしたApkファイルは自動的に削除されるためシステム上に保存されません。システム上に保存されるのは検査結果、検査履歴になります。
- C言語、C++言語で記述されたプログラム部分を検査しますか?
- いいえ、検査対象外です。Secure Coding CheckerではJava言語またはKotlinで記述されたプログラムが検査対象です。
- オンプレミスでの提供はできますか?
- はい、可能です。詳細についてはお問い合わせください。
- 導入にどれくらい時間がかかりますか?
- ご契約後、アカウントとパスワードをお渡しすればすぐにご使用いただけます。
- いろいろプランがあり、どのプランを選んでよいかわかりません。
- お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。
- 検査をするにあたり、ソースコードの提出は必要ですか?
- いいえ、必要ありません。
- 検査可能なアプリ数の数え方について教えてください。
- 検査可能なアプリ数は、月ごとに固定でカウントします。
具体的には、ある月に3本の上限枠内でA,B,Cというアプリを検査した場合、その月に検査可能なアプリはA,B,Cのみとなります。
上限枠内のアプリは月ごとに管理しているので、次月はD,E,Fと別の3本のアプリを検査することが可能です。 - 検査回数に上限はありますか?
- いいえ。契約期間内であれば何回でも検査できます。
- 検査するアプリのサイズに上限はありますか?
- アプリのサイズは500MBを上限としています。500MB以上のサイズのアプリを検査するご要望がある場合はお問い合わせください。
- 検査履歴はどのくらいの期間、件数保存されますか?
- 保存期間は無制限です。
1つのアプリの検査履歴は1,000件まで保存されます。
検査履歴を1,000件を超えて保存したい場合は、お問い合わせください。 - 対象ブラウザを教えてください。
- こちらをご覧ください。
- ガバメントライセンス、アカデミックライセンスはありますか?
- 官公庁・自治体向けのガバメントライセンス、教育機関向けのアカデミックライセンスがあります。お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。
- SaaS型のサービスですが、外部の公的認証は取得されていますか?
- 当社はISO/IEC 27001(ISMS:情報セキュリティマネジメントシステム)の認証を取得しております。また、Secure Coding Checkerのクラウドサービスは、ISO/IEC 27017(クラウドサービスセキュリティ)の認証も取得しております。
仕様
基本仕様
| 対象ブラウザ | Microsoft Edge, Google Chrome |
|---|---|
| 対象OS | Windows 8.1、Windows10 |
| 対象ファイル | Android 準拠アプリケーションのapkファイル |
| 検査アプリのファイルサイズ | 最大500MB |
| 検査履歴保管数 | 1,000件/1アプリケーション |
| その他条件・環境 | 高速なインターネット環境 |
| 最新バージョン | バージョン 2022.02.08 更新履歴はこちら |
価格
| ユーザー数 | 32ユーザー | |||
|---|---|---|---|---|
| 対象アプリ数 | 10アプリ | |||
| アプリ発注先管理機能 | - | - | ○ | ○ |
| WebAPI機能 | - | ○ | - | ○ |
| 価格(年額) | 84万円 | 104万円 | 116万円 | 136万円 |
※ 対象アプリ数は、20アプリ、50アプリなど10アプリ単位で購入することができます。
※ 対象アプリ数は無制限プランもご用意しております。(840万円~)
※ オプション機能は、ご利用期間中でも付与可能です。
※ オンプレミスは全てのプランで選択いただけます。価格は個別見積となり、別途設置料及び保守料が追加となります。
※ 有償サポートオプションもございます。