タオソフトウェアロゴ

RiskFinder

About RiskFinder

アンドロイドアプリケーションの脆弱性を診断するウェブサービスです。

開発知識は不要です。
アプリケーションファイルとブラウザを準備するだけで、すぐに診断結果が得られます。 セキュリティ事故防止の一環として必ずお役に立てるサービスです。

特徴

  • ブラウザでファイルをアップロードするだけなので、誰でも使用できます
  • アプリケーションファイルのみで診断可能。ソースコードは不要です
  • ウェブサービスなので常に最新のバージョンが使用できます
  • 脆弱性に加え、マルウェアと間違えられやすい項目・品質に関する項目も検出します
  • 総務省の「スマートフォン プライバシー イニシアティブ」に準拠するための情報を出力します

背景

アンドロイドの急速な普及に伴い、現在多くのアプリケーションがリリースされています。
しかし、市場が急速に広がったためにアンドロイドに精通した技術者は不足しています。
経験の十分でない技術者が開発に関わる事も多く、また、モバイルアプリケーションの製作は従来のアプリに比べ開発時間が短く、バージョンアップも短いサイクルで行われるため、「動くこと」に注力した開発が行われがちです。
これらが原因となり、セキュリティホール(脆弱性)があったり、マルウェアと間違えられる可能性があるままリリースされているアプリが多く見られる状況になっています。
このようなアプリケーションを公開してしまうと、企業イメージの悪化や炎上問題、最悪の場合セキュリティ事故につながる可能性があります。

このような問題がありながらも、熟練した開発者が少ないこともあり、技術の蓄積が十分でない開発者へ発注せざるを得ない状況が続いています。 一方、発注者が行う受け入れテスト(検収)時にセキュリティホールや品質面の不具合を発見するのは、セキュリティに関する関する詳しい知識が必要となるため、発注者が全ての問題を発見するのは非常に困難であると言わざるを得ません。

開発経緯

タオソフトウェアは、アンドロイドが発表された当初から研究開発を行いながら技術を蓄積し、ブログや講演等による情報発信を通して開発者のセキュリティ意識の啓蒙につとめてきました。

2012年1月にプログラマ向けの書籍、Android Security ~安全なアプリケーションを開発するために」をインプレスジャパンより出版しました。
セキュリティに関する講演やコンサルテーションを行う中で、 「セキュリティに関する技術情報を、開発現場から発注者まで全ての人間が把握するのは難しく、また今後のアンドロイドのバージョンアップで追加変更されていくセキュリティ事項に追従して行くのも大変である。アプリのセキュリティについて簡単に診断できる仕組みはないか」との声を多くいただきました。
そのようなリクエストに応え、また、高価なセキュリティチェックを自動化によって手軽に利用できるものにする、ということを念頭にRiskFinderを作成しました。

RiskFinderを使用することにより簡単に脆弱性診断をする事が可能になり、アプリケーションの品質を一定に保つ事が可能になります。

RiskFinderサイト

詳細につきましては、RiskFinderサイトにてご確認ください。