NRIセキュアテクノロジーズは6月3日、スマートフォンアプリを自社あるいは社外に委託して開発する企業向けに、セキュリティに配慮した設計・開発を支援する「セキュアスマートフォンアプリケーション設計・開発ガイドライン(以下、ガイドライン)」および「セキュアスマートフォンアプリケーション設計レビュー(以下、設計レビュー)」の提供を開始した。

スマートフォンアプリを自社開発し、社員や一般ユーザーに配布してビジネスに活用する企業が増えている。一方で、スマートフォンアプリ特有の脆弱性を狙った攻撃や、プライバシー情報の取り扱い不備といった情報セキュリティの課題も残されている。

このような背景の下、NRIセキュアが既存の「スマートフォンアプリケーション診断」に加えて開始した新しいサービスは、企業が安心して自社アプリの開発を進められるように、潜在するセキュリティ上の問題を発見し、適切な対策の実施を支援するものである。

ガイドラインでは、スマートフォンアプリを設計・開発するにあたり、考慮すべきセキュリティ要件の策定を支援する。策定したガイドラインを遵守することで、一定のセキュリティ水準を保った開発が可能となる。外部委託する場合には、社内外の開発者で共有することにより、遵守すべきセキュリティ基準を明確に示すことができる。AndroidとiOSに両対応するため、一般ユーザーに広く配布する目的においても、セキュリティ基準を統一することができる。ガイドラインをひな形に、業界規格や社内ポリシーを取り入れたカスタマイズ版を策定することも可能だ。

設計レビューでは、基本設計の段階で開発中のスマートフォンアプリに必要なセキュリティ要素が実装されているかを確認する。NRIセキュアのセキュリティコンサルタントが「スマートフォンアプリケーション診断」の評価項目に沿って、開発担当者に設計内容をインタビューし、考慮すべきセキュリティ上のリスクについて助言する。また、アプリの配布前に診断を実施することにより、実装以降の工程で取り込まれてしまう問題点を洗い出し、アプリのセキュリティ水準を高めることができる。

スマートフォンアプリケーション診断のサービスイメージ