本日、2013年4月16日よりAndroidアプリの脆弱性を診断する『Tao RiskFinder(タオ リスクファインダー)』をリリースします!
『Tao RiskFinder』は、アンドロイドアプリケーションの脆弱性を診断するウェブサービスです。
開発知識は不要で、アプリケーションファイルとブラウザを用意するだけですぐに診断結果を得ることができます。
タオソフトウェアの新しいサービスとしては、2010年5月の「ドロクリ」以来、実に3年ぶりの新サービスのリリースとなります。
製品ロゴはこんな感じです。「リスクファインダー」という固めの名前ですが、可愛い感じでまとめてみました。やっぱり可愛くないとね!

RiskFinderLogo.png

折角なので、Tao RiskFinderを作成することになった経緯について語らせてください。
タオソフトウェアは、アンドロイドが発表されたのとほぼ同時くらいに研究開発を開始しました。日本のアンドロイド市場が盛り上がるまでは、普通のシステム開発を行いながらブログなどで情報発信してきました。
2010年頃からようやく日本でもアンドロイド市場が盛り上がってきてとても嬉しかったのですが、その一方で「ウーン、危ない」と思ってしまう動きをするアプリが沢山見られるようになりました。
そこで、ブログや講演等で情報発信しつつ、今までのノウハウをまとめて「安全なアプリを書きましょう!」というメッセージのつもりで「Android Security」を2012年1月に出版しました。

この本はとても好評をいただきました(ただし専門的すぎてバカ売れした訳ではないのですが)。その後、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)さんから声をかけていただいて「Androidアプリのセキュア設計・セキュアコーディングガイドライン」の執筆にもどっぷりと関わらせていただきました。

発信できる物は発信した!、JSSECのガイドラインもできた!ということで一安心していたのですが、その後のセキュリティに関する講演やコンサルテーションを行う中で、お客様からこんなこんな声が聞こえてきました。

  • セキュリティに関する技術情報を、開発現場から発注者まで全ての人間が把握するのは難しい
  • 今後のアンドロイドのバージョンアップで追加変更されていくセキュリティ事項に追従して行くのも大変

うーん、確かに。
タオが出版した本も古くなりつつありますし、追随し続けて行くのが大変だというのはそのとおりです。
じゃぁ、どうするか?
情報発信した側でチェックする仕組みも作ってあげれば親切じゃないですか!!

いつやるの?
今でしょう!

という訳で『Tao RiskFinder』なのです。
今ある検査ツールや検査サービスは非常に高価で、かつ使う側も開発に関する知識がないと辛い物がありますが、『Tao RiskFinder』は違います。
セキュリティ診断を自動化によって手軽に利用できるものにする、ということを念頭に作成しています。
診断結果とともに「どうすれば良いか」についても可能な限り情報提供するようにしています。

  • 開発したアプリの脆弱性チェックとして
  • 納品されたアプリの検収作業の一部として
  • 社内導入アプリの選定作業の支援ツールとして

誰でも簡単に使えるからこそ、色々な場面でお役に立てるのではないかと思っています。
詳細はこちらをご覧下さい。
Tao RiskFinder詳細ページ

ブログ内の関連する記事