写真1●VEX+Android静的解析オプションの動作イメージ
写真1●VEX+Android静的解析オプションの動作イメージ
[画像のクリックで拡大表示]
写真2●パッケージを指定する際に、解析するシグネチャも選択可能
写真2●パッケージを指定する際に、解析するシグネチャも選択可能
[画像のクリックで拡大表示]

 Webアプリケーションなどの脆弱性診断ソフトを開発するユービーセキュアは、2013年10月9日から東京ビッグサイトで開催されている「ITpro EXPO 2013」でAndroidアプリを静的解析する「Android静的解析オプション」を展示している(販売元はシーイーシー)。同オプションは、ユービーセキュアのWebアプリケーション検査ツールである「VEX」にアドオンするもの。2013年11月1日から販売を開始する予定だ。

 VEX+Android静的解析オプションの動作イメージは写真1だ。社内のローカルネットワークに配置したWebサーバーにVEX+Android静的解析オプションをインストールする。利用するには、同一ネットワーク上にあるPCのブラウザを立ち上げてVEXにアクセスし、静的解析を行うAndroidのAPKパッケージを指定するだけだ。パッケージを指定する際に、解析するシグネチャも選択可能だ(写真2)。

 Android静的解析オプションは、4つのガイドライン(IPAのAndroidアプリの脆弱性に関するレポート、JSSECのスマートフォン&タブレットの業務利用に関するセキュリティガイドライン、OWASP Top 10 Mobile Risks、ユービーセキュアの独自ガイドライン)を検査項目として脆弱性を解析する。解析結果は、WordとExcel形式のレポートとして閲覧できる。

 価格は、Android静的解析オプションが初年度税抜90万円から。別途、VEX基本パッケージが必要(税抜260万円から)。