HCL AppScan: モバイルアプリ: デバイス上で動作しているものよりもより深く
2021/3/25 - 読み終える時間: ~1 分
Mobile Applications: Much More Than What Runs on Your Device の翻訳版です。
モバイルアプリ: デバイス上で動作しているものよりもより深く
2021年3月23日
著者: Eitan Worcel / Product Lead, AppScan、Nabeel Jaitapker 共著: Product Marketing Lead, HCL Software
モバイルアプリケーションは、ビジネスの拡大や潜在的な顧客へのアプローチを可能にするものであることは誰もが知っています。
しかし、モバイルは、セキュリティの脆弱性を利用して利益を得ようとする悪意のある行為者にとって、脅威のベクトルを拡大しています。
悪意のあるハッカーとの戦いにおいて、企業は、モバイル操作に起因する脅威からしっかりと保護されていることを確認する必要があります。しかし、忘れがちなのは、モバイルからの脅威は、ユーザーがプロバイダーのアプリストアからダウンロードして自分の端末にインストールするクライアント側のモバイルアプリケーションの脆弱性に限らないということです。より大きなリスクは、バックエンドで実行され、クライアント側のアプリケーションからのリクエストを処理するサービスにあります。
HCL AppScan は、クライアント側のモバイル・アプリケーションとサーバー側の Web サービスの両方を、アプリケーション・セキュリティのテスト技術を組み合わせてスキャンすることをサポートしているため、モバイル・アプリケーションのランドスケープを適切にテストするための完全な技術セットを提供できる唯一のソリューションです。
例えば、開発者は、SAST (Static Analysis Security Testing) を使って自分のコードにセキュリティ上の脆弱性がないかどうかを簡単に調べることができますし、SCA (Software Composition Analysis) を使って自分のアプリケーションにインポートするサードパーティーのコンポーネントに既知の脆弱性がないかどうかを評価できます。
サーバーサイドでは、SAST と SCA に加えて、AppScan では Dynamic Analysis Security Testing (DAST) を使ってバックエンドサービスをスキャンできます。この DAST は、悪意のあるハッカーが使用するのと同じアクションを模倣します。また、インタラクティブ・アナリシス・セキュリティ・テスト (IAST) では、アプリケーションが操作されているときの動作を監視することができ、外部に露出しにくい脆弱性を検出することができる、別の層のテストが可能です。
ここ数年の AppScan を追っている人は、クライアント側のモバイルアプリケーションをスキャンする HCL AppScan on CloudのMobile Analyzer にも精通していることでしょう。Mobile Analyzerは IAST 技術に依存していますが、ここ数ヶ月の間に、上述の SAST によるモバイル言語のサポートを導入したことで、この技術からの移行を開始しました。
SAST のメリット
パッシブ IAST は、ゼロタイムでセキュリティ分析を行います。その利点は、パイプラインの一部として実行し、QA チームがすでに実行している機能テストを活用する場合です。これは、Web アプリケーションや Web サービスでは非常に有効ですが、クライアントサイドのモバイルアプリケーションではあまり有効ではありません。このような制限を克服するために、AppScan では独自のクローラーを実装し、アプリケーションと自動的に対話するようにしました。この方法では、アプリケーションのスキャンに成功しましたが、当社の SAST スキャンがわずか数分またはそれ以下で完了するのに対し、スキャン時間は平均して1時間以上かかりました。
当社の IAST ソリューションでは、Swift、Objective-C、Android Java、Kotlin で書かれたiOSおよびAndroidアプリケーションしかスキャンできず、一般的なデバイス上で動作するアプリケーションに限られます。特定のAndroidメーカー向けに書かれたアプリケーションには対応していません。HCL の SAST ソリューションでは、上記の4つに加えて、ionic、React Native、Xamarin に対応しており、今後も言語やフレームワークの追加を予定しています。SAST では、デバイスにとらわれないため、どのデバイスであってもコードをスキャンできます。
前述のように、IAST はアプリケーションが操作されているときにそれを監視しますが、モバイル向けのIASTソリューションには実際のモバイルデバイスを使用する必要があります。そのため、Mobile Analyzerは当社のクラウドソリューションでしか利用できませんでしたが、SASTによるモバイルサポートを追加することで、HCL AppScan Sourceでも利用できるようになりました。
IAST や DAST のようなアプリケーション・セキュリティ・テストでは、実行中のアプリケーションをテストしますが、これは一面では SAST よりも正確ですが、他面ではスキャンが困難です。SAST のスキャンを成功させるために必要なのは、アプリケーションコードだけです。バックエンドサーバーをインストールする必要はなく、スキャナがバックエンドに到達できるようにしたり、ログイン認証情報を提供したりする必要もありません。実際には、アプリケーションをコンパイルする能力さえ必要ありません。
HCL Software では、HCL AppScan on Cloud を使用したモバイルアプリケーションの価値が非常に高まっていることを実感しています。是非、デモをご利用ください。