WEBサイトだとおおよその攻撃手法、防御方法、また脆弱性診断のサービスも、イタチごっこではあるにせよ、だいたい出揃っている感があります。
ひるがえってアプリはどうか?
耐タンパー性を高めるくらいか?とか考えていました。
耐タンパー性とは
http://e-words.jp/w/%E8%80%90%E3%82%BF%E3%83%B3%E3%83%91%E3%83%BC%E6%80%A7.html
でもやっぱり不安ですよね。
有償でアプリの脆弱性診断をやっている会社はたくさんありますが、それなりに良いお値段。
不安な時は長いものにまかれろということでIBMが提供しているSecurity AppScan Mobile Analyzer を試してみました。
30日間無料で使用できます。
IBM Security AppScan Mobile Analyzer
これが診断結果
l
良い点
-
お手軽である
Androidはapkをアップロードするだけ。iPhoneは指定のツールでプロジェクトをビルドしたものをアップロードすれば、あとは全自動でスキャンしてくれます。 -
結果がわかりやすい
脆弱性件数が High,Med,Low,Infoに分類されて数が表示されます。もう一目でヤバさがまるわかり。 -
診断レポートが豪華
受託案件で納品物に使えるクオリティのPDFがもれなくついてきます。ハクがつくのは間違いありません。
悪い点
-
スキャンに時間がかかる
たいして大きいアプリでもないのに半日近い時間を要しました。納期に追われている時にはしんどいかも。 -
結果の信ぴょう性
果たしてこの結果を信用していいのか?IBMのお墨付きだから正しいのか?情報の蓄積がほしいところです。
全体的にはカジュアルに使えて悪くは無い印象でした。
でももっと良いサービスがあればぜひコメント頂ければ、と。