スマートフォンアプリの設計・開発を支援するセキュリティガイドライン、設計レビューを提供開始

スマートフォン市場の急速な拡大を背景に、スマートフォンアプリを自社開発し、社内や一般ユーザーに配布してビジネスに活用する企業が増えています。その一方で、スマートフォンアプリ特有の脆弱性を狙った攻撃や、プライバシー情報の取り扱いといった情報セキュリティの課題は、実害が出ればビジネス上の損失だけではなく、企業としての信用失墜に繋がる可能性があり、その対策は必須となっています。こうした状況を踏まえ、NRIセキュアは、企業が安心して自社制作のスマートフォンアプリをビジネス展開できるように、すでに提供中の「スマートフォンアプリケーション診断※1」に加え、開発の上流工程（要件・設計）から支援する「セキュアスマートフォンアプリケーション設計・開発ガイドライン」、そして、開発の着手前に設計内容の問題点を確認する「セキュアスマートフォンアプリケーション設計レビュー」を提供します。

主なサービスの内容は以下のとおりです。

■セキュアスマートフォンアプリケーション設計・開発ガイドライン
スマートフォンアプリを設計・開発するにあたり、考慮すべきセキュリティ要件の策定を支援します。策定したガイドラインを遵守してスマートフォンアプリを設計・開発することで、一定のセキュリティ水準を保った開発が可能になります。また、開発を外部委託する際、ガイドラインを社内の開発者と社外の開発委託先とで共有することにより、遵守すべきセキュリティ基準を明確に示すことができます。
NRIセキュアのガイドラインの特長は、AndroidだけではなくiOSにも対応している点です。これにより、企業が一般ユーザーに広く配布する目的で、各OS対応のアプリを並行して開発する際に、両OSのセキュリティ基準を統一することができます。
また、このガイドラインは用意された雛型を元に、お客様の遵守すべき業界標準規格や内部ポリシーを取り入れたカスタマイズ版を策定することも可能です。

■セキュアスマートフォンアプリケーション設計レビュー
基本設計の段階で、開発中のスマートフォンアプリに必要なセキュリティ要素が実装されているかを確認します。
スマートフォンアプリは従来のアプリケーションと比べて、ライフサイクルの進行が速く、開発期間も短い傾向にあり、機能追加等のアップデートも頻繁に行われます。このため、開発工程の最終段階やアップデート後に脆弱性が発見されると、修正の手戻りが発生し、アプリの配布や機能追加の計画に影響が出る恐れがあります。
これを防ぐために、NRIセキュアのセキュリティコンサルタントが「スマートフォンアプリケーション診断」の評価項目に沿って、開発担当者様に設計内容のインタビューを行い、考慮すべきセキュリティ上のリスクについて助言します。また、アプリの配布前に「スマートフォンアプリケーション診断」を実施することにより、実装以降の工程で作り込まれる問題点を洗い出し、配布するスマートフォンアプリのセキュリティ水準をさらに高めることができます。

NRIセキュアは、従来のサービスを向上させつつ、今後もスマートフォンなどの情報セキュリティ分野での新しいニーズに対応した多様なサービスを提供し、企業の安全なITのビジネス活用を支援していきます。

※1　スマートフォンアプリケーション診断：
スマートフォン端末にインストールするアプリケーションのセキュリティ対策状況を診断します。スマートフォンアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。
詳細はリンクをご覧ください。


※記載の製品名は、各社の商標または登録商標です。