ニュース
モバイル

モバイルプログラマはセキュリティにルーズ–Cenzicがアプリ試験ツールを立ち上げ

次の記事

GoogleはGmailのユーザアカウントから本当に音楽ファイルを削除したのか

iphone_health

セキュリティのためのソフトウェアとSaaSを提供しているCenzicが今日(米国時間2/21)、iOS、Android、J2MEなどさまざまなプラットホーム上のモバイルアプリをデベロッパがテストできるためのセキュリティ製品を立ち上げた。この製品はこれまでで初めての、デベロッパがソースコードを提出しなくてもテストができるもので、アプリが実際に動いている間に、すべてのテストがクラウドから行われる。

テストが終わるとこのサービスは、そのアプリにあるセキュリティの脆弱性、リークする可能性のあるデータ、とくにどのような脅威に対して弱いか、どんな対策をすべきか、などをユーザであるデベロッパに教える。

モバイルアプリケーションのユーザサイドに固有のセキュリティリスクに対し、最近スポットライトが当たっている。それは、人気アプリの多くが、ユーザのアドレス帳をデベロッパのサーバにアップロードしていることが、発見されたからだ。しかし、それがどれだけ重要でも、Cenzicのソリューションが扱うのはこの種のリスクではない。

CenzicのCEO John Weinschenkの説明によると、“デバイスそのものが大げさに扱われて関心も集まっているが、しかしデバイスそのものはリスクではない。モバイルデバイスにハックしても、得られるのはそのユーザの情報だ。それは、そんなに利用価値のあるものではない。でもサーバをハックしたら、何百万ものアカウント情報やそのほかの細かい情報が得られるのだ”。

Cenzicがその修復を支援したいと思っている問題は、企業のバックエンドシステムの多くがWebアプリケーションからのアクセスを前提に設計されているのに、今ではモバイルアプリからもアクセスされていることに、起因している。

同社のソリューションは、モバイルアプリのバックエンドとWebサービスの使われ方に着目し、それらの脆弱性を分析する。この視点は今とくに、大企業向けのアプリを作っているところで重要であり、そういうサーバ/サービス環境ではアプリが最近の脅威のすべてから保護され、機密性の高い顧客データが守られることを必要とする。

しかし、そういう脆弱性がどこまで蔓延しているのか? Weinschenkによると、今日の立ち上げまでに、4社の計30のアプリに対しベータテストを行った。その4社はいずれも、年商10億ドル以上という金融、eコマース、製造業などの大企業だ。そのテストにおいてCenzicが見いだしたのは、脆弱性の60%は入力の…形の…確認の部分、40%は…本人性の…認証の部分にあることだ。そこでWeinschenkはこう言う、“このことが意味しているのは、モバイルアプリを書いているプログラマはデバイスとサーバ間のコミュニケーションの、とくに確認/認証の部分を管理するやり方を知らないことだ”。

Cenzicのソリューションは、脆弱性に対する対策、コードの書き換え方などを提供するが、ソースコードは見ないから変更を実際にするのではなく、コード中の問題箇所を指摘するだけである。同社の脆弱性データベースは、ウィルス対抗システムの場合のように、毎週更新されているので、デベロッパはモバイルアプリのバックエンドに対する最新の脅威を、随時テストできる。

このモバイルアプリのためのセキュリティソリューションは、Cenzicのそのほかのソフトウェアや管理サービス、あるいはクラウドサービスの一環として提供される。料金は、一つのアプリに対し年間7000ドルからだ。

同社は現在、Fortune 1000企業や政府省庁、大学、セキュリティ企業、一般中小企業などの合計50万以上のオンラインアプリケーションにセキュリティを提供している。モバイル製品に関する詳しい情報は、今、同社のホームページ上にある。

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))