Webアプリケーションなどの脆弱性診断ソフトを開発するユービーセキュアは、2013年10月9日から東京ビッグサイトで開催されている「ITpro EXPO 2013」でAndroidアプリを静的解析する「Android静的解析オプション」を展示している(販売元はシーイーシー)。同オプションは、ユービーセキュアのWebアプリケーション検査ツールである「VEX」にアドオンするもの。2013年11月1日から販売を開始する予定だ。
VEX+Android静的解析オプションの動作イメージは写真1だ。社内のローカルネットワークに配置したWebサーバーにVEX+Android静的解析オプションをインストールする。利用するには、同一ネットワーク上にあるPCのブラウザを立ち上げてVEXにアクセスし、静的解析を行うAndroidのAPKパッケージを指定するだけだ。パッケージを指定する際に、解析するシグネチャも選択可能だ(写真2)。
Android静的解析オプションは、4つのガイドライン(IPAのAndroidアプリの脆弱性に関するレポート、JSSECのスマートフォン&タブレットの業務利用に関するセキュリティガイドライン、OWASP Top 10 Mobile Risks、ユービーセキュアの独自ガイドライン)を検査項目として脆弱性を解析する。解析結果は、WordとExcel形式のレポートとして閲覧できる。
価格は、Android静的解析オプションが初年度税抜90万円から。別途、VEX基本パッケージが必要(税抜260万円から)。