サービスについて
Secure Coding Checkerは、モバイルアプリにおけるセキュリティ基準のデファクトスタンダードであるOWASPの「MASVS」「MSTG」を取り込んだ当社独自のガイド「モバイルアプリケーションのセキュリティ設計ガイド」(以下、MASDG)、および、JSSECの「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しています。ガイドは2012年6月以降、随時更新を重ねており、Secure Coding Checkerもその更新に合わせてバージョンアップを続けています。将来にわたって検査の質を保つことができます。
Androidアプリのセキュア設計・セキュアコーディングガイド
開発者に嬉しい機能
1. 開発者が効率よく問題点を修正することができる仕組み
問題のある箇所、理由の表示に加え、セキュアコーディングガイドの該当部分へのリンクが表示されるので、修正方法を素早く簡単に知ることができます。
デモサイトで検査結果を確認できます。
登録不要の無料体験版はこちら
2. 開発途中から何度でも繰り返し検査可能。リリース直前での混乱を防ぎます。
3. 開発者の負担を減らす、誤検知を防ぐための仕組み
一般的な脆弱性検査ツールでは、見つかった問題が本当に被害をもたらすか開発者自身が判断しなければならないのですが、これは開発者にとっては大きな負担です。Secure Coding Checkerでは、簡単な質問に答えるだけで問題点に対する判断ができる仕組みを実装し、ツールの誤検知がもたらすユーザーの負担を減らします。
4. ブラウザを経由せずに開発環境から検査可能なWebAPI機能
※ 本機能はオプション機能(有料)となります。
WebAPIを活用することで、各開発者が個別に検査しなくてもCI環境で定期的に検査が実施できるようになり、開発者工数の削減や効率化に繋がります。
ゆとりをもった開発が可能に
最新のセキュリティ情報に気を配っている開発者であっても、すべてのセキュリティ情報を頭に入れることはまず無理です。その点Secure Coding Checkerはデファクトスタンダードに則っていますから、このツールに任せておけば安心です。また、このツールで指摘されてセキュリティのポイントを学ぶこともあるでしょう。時間に追われて開発していると、わかっていてもケアレスミスを起こしやすいものです。そのようなミスもこのツールを使えば回避できます。何より出荷前だけでなく、ゆとりのある時期に何度でも検査できるので、時間的に余裕をもった問題点の対応が可能になります。
iOS/Androidアプリではプライバシーやセーフティーの厳格なアプリ審査の対応が要求されるため、審査対応で苦労している方も多いのではないでしょうか。審査で確認されるようなアプリ開発のプライバシー・セーフティーに関する内容はSecure Coding Checkerでチェックできるため、審査対策のサポートとしてもご活用いただけます。Secure Coding Checkerを使っているだけで、開発時の安心感が違うと思います。
発注者に嬉しい機能
※ 発注者向け機能はオプション機能(有料)となります。
1. 複数の開発会社をお使いの場合に役立つ、アプリ発注先管理機能
複数の開発会社にアプリの開発を依頼している場合を想定し、それぞれのアプリ開発者が他のアプリの検査状況を見られないように制限をかける仕組みがあります。
2. セキュリティ対策状況と推移が一目でわかる、グラフ表示機能
スタッフ全員でセキュリティ状況を簡単に共有
モバイルアプリのプログラミングを外部発注している会社は少なくありません。しかし発注者と開発者でセキュリティ情報を共有するのはなかなか難しいことです。このツールを使えば、両社でアプリに求めるセキュリティの基準を統一したうえで、対応状況を共有できます。
モバイルデバイスに対する攻撃方法は年々巧妙になっています。開発の時点で「どのような基準で検査をして、どのような結果だったのか」を記録しておくことは、発注者にとっても開発者にとっても、今後はますます重要になるでしょう。
導入事例
よくあるご質問
- 試してみたいのですが体験版はありますか?
- 法人のお客様向けに、30日間の無料トライアルをご用意しています。
ご興味のある方はこちらよりお問い合わせください。 - 検査項目、検査内容は更新されますか?
- はい、検査項目、検査内容はMASDG・JSSECのガイドラインに合わせて更新されます。
- MASDG・JSSECのガイド更新に対応しますか?
- はい、対応します。
- 難読化したアプリを検査することはできますか?
- はい、検査できます。
- アプリの数え方について教えてください。
- アプリをパッケージ名で判別します。パッケージ名が変わらないバージョンアップについては1つのアプリとしてカウントします。
※ アプリ発注先管理機能を利用している場合、アプリ数は各グループごとにカウントします。
(同じパッケージ名のアプリでも、異なるグループで検査した場合はそれぞれ個別にカウントします。) - iOSアプリは検査できますか?
- はい。Secure Coding CheckerはiOS/Androidアプリを対象としたサービスです。
- Unityで開発したアプリを検査できますか?
- いいえ。Unityで開発したアプリは検査対象外です。
- 英語版はありますか?
- はい、iOS/Androidアプリ検査ともにログイン画面にて言語を切り替えることができます。
- 使用しているクラウドサービスは何ですか?
- Microsoft Azureを使用しています。
- アップロードしたAPK/AAB/IPAファイルの取扱いはどうなっていますか?
- アップロードしたAPK/AAB/IPAファイルは自動的に削除されるためシステム上に保存されません。
システム上に保存されるのは検査結果、検査履歴になります。 - C言語、C++言語で記述されたプログラム部分を検査しますか?
- いいえ、検査対象外です。Secure Coding CheckerではAndroid版はJava言語またはKotlinで記述されたプログラムが検査対象、iOS版ではSWIFT言語が検査対象です。
- オンプレミスでの提供はできますか?
- はい、可能です。詳細についてはお問い合わせください。
- 導入にどれくらい時間がかかりますか?
- ご契約後、アカウントとパスワードをお渡しすればすぐにご使用いただけます。
- いろいろプランがあり、どのプランを選んでよいかわかりません。
- お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。
- 検査をするにあたり、ソースコードの提出は必要ですか?
- いいえ、必要ありません。
- 検査可能なアプリ数の数え方について教えてください。
- 検査可能なアプリ数は、月ごとに固定でカウントします。
具体的には、ある月に3本の上限枠内でA,B,Cというアプリを検査した場合、その月に検査可能なアプリはA,B,Cのみとなります。
上限枠内のアプリは月ごとに管理しているので、次月はD,E,Fと別の3本のアプリを検査することが可能です。 - 検査回数に上限はありますか?
- いいえ。契約期間内であれば何回でも検査できます。
- 検査するアプリのサイズに上限はありますか?
- こちらをご覧ください。
- 検査履歴はどのくらいの期間、件数保存されますか?
- 保存期間は無制限です。1つのアプリの検査履歴は1,000件まで保存されます。
検査履歴を1,000件を超えて保存したい場合は、お問い合わせください。 - 対象ブラウザを教えてください。
- こちらをご覧ください。
- ガバメントライセンス、アカデミックライセンスはありますか?
- 官公庁・自治体向けのガバメントライセンス、教育機関向けのアカデミックライセンスがあります。
お客様の状況をヒアリングさせていただき、適切なプランをご提案いたします。お気軽にご相談ください。 - SaaS型のサービスですが、外部の公的認証は取得されていますか?
- 当社はISO/IEC 27001(ISMS:情報セキュリティマネジメントシステム)の認証を取得しております。
また、Secure Coding Checkerのクラウドサービスは、ISO/IEC 27017(クラウドサービスセキュリティ)の認証も取得しております。 - ログインアカウント発行数の上限はありますか?
- 対象アプリ数やオプションの有無に関わらず、一律で最大32ユーザー発行可能です。
- サインインは二段階認証に対応していますか?
- はい、Google Authenticatorによる二段階認証に対応しております。
ユーザー単位で二段階認証の有効化・無効化が可能です。
仕様
基本仕様
| 対象ブラウザ | Microsoft Edge, Google Chrome |
|---|---|
| 対象OS | Windows10 |
| 対象ファイル | iOS準拠アプリケーションのIPAファイル Android準拠アプリケーションのAPKファイルおよびAABファイル |
| ユーザー数 | 最大32ユーザー |
| 検査アプリのファイルサイズ | iOS準拠アプリケーション:最大100M(実行可能ファイル:最大30M) Android準拠アプリケーション:最大500M |
| 検査履歴保管数 | 1,000件/1アプリケーション |
| その他条件・環境 | 高速なインターネット環境 |
| 最新バージョン | バージョン 2023.11.09 更新履歴はこちら |
価格
| ご契約プラン | 価格(年額) | |
|---|---|---|
| SCC iOSアプリ対応版 | 基本プラン(対象アプリ数:10アプリ~) | 84万円〜 |
| SCC Androidアプリ対応版 | 基本プラン(対象アプリ数:10アプリ~) | 84万円〜 |
| 【オプション】MASDG | 50万円 | |
| 【オプション】WebAPI機能 | 20万円 | |
| 【オプション】アプリ発注先管理機能 | 32万円 | |
| 【オプション】アプリ発注先管理機能+セキュリティパック | 82万円 | |
※ 基本プランの対象アプリ数は、10アプリ単位で購入できます。無制限プランもご用意しております。(840万円~)
※ Androidアプリ対応版基本プランはJSSEC準拠の検査機能を提供します。MASDGベースの検査機能をご希望の場合はMASDGオプションを追加可能です。
※ 「MASDG」および「WebAPI機能」オプションの提供条件として、 Androidアプリ対応版基本プランのご契約が必須となります。
※ 「アプリ発注先管理機能」および「セキュリティパック」オプションは、1契約でiOSアプリ対応版・Androidアプリ対応版どちらもご利用いただけます。
※ オプションは、ご利用期間中でも追加可能です。
※ オンプレミスをご希望の場合、Androidアプリ対応版基本プランのみ選択いただけます。価格は個別見積となり、別途設置料及び保守料が追加となります。
※ 有償サポートオプションもございます。
- Secure Coding Checker
- 関連サービス
- ラックのセキュリティ診断について
- プレスリリース
- ラック、モバイルアプリのセキュリティソリューション提供でアシアル社と協業
- ラック、資産譲渡によりWebベースのスマートフォンアプリケーションの脆弱性診断を開始
- 関連記事
- 【セミナーレポート】ハイブリッドアプリ開発の最前線ではどんなことが起きている?
- JSSECセキュアコーディングガイド最新版~改定内容とAndroid 11対応のノウハウとは?
- 株式会社ACCESS様 Secure Coding Checker事例
- ニッセン・クレジットサービス株式会社様 Secure Coding Checker事例
- KDDI株式会社様 Secure Coding Checker事例
- 株式会社サイバード様 Secure Coding Checker事例
- 三菱電機株式会社 三田製作所様 Secure Coding Checker事例