Data Theorem

データセオラム

モバイルアプリケーションの自動的かつ継続的な脆弱性診断

~SDKやOSS等の新たな脆弱性に対応しつつ、より速いDevSecOpsサイクルの実現へ~

モバイルアプリケーション市場の拡大とセキュリティ課題

  • 消費者向けのゲーム市場だけでなく、デジタルトランスフォーメーション、Fintech、5GやIoT関連でのビジネス用途、ヘルスケア用途がきっかけでモバイルアプリケーション市場は年々拡大中・サービスの利便性や使い勝手の良さが求められ、リリースの頻度は増加傾向
  • 独立行政法人 情報処理推進機構(IPA)によると、2019年第4四半期(10月~12月)ではソフトウェア製品別の脆弱性届出件数にて、モバイルアプリケーションが1位
  • IPA ソフトウェア等の脆弱性関連情報に関する届出状況

※出典:IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2019 年第4 四半期(10月~12月)]

セキュリティの課題:「納期、コスト、コンプライアンス、専門性、etc…」

  • 新たにリリースしても、セキュリティの欠陥がきっかけでサービス停止
  • セキュリティ対策を重視したくても任せているので、自社アプリの危険性かわかっていない
  • 手動のペンテストはコストが高く、リリース優先で対応しきれていない
  • アプリ開発時の委託先に運用もすべて毎回はチェックできていない
  • リリース前の脆弱性診断のみ行っており、リリース後に利用しているOSSやSDKで脆弱性が発見されたとしても即時対応ができていない
  • セキュリティ要件を満たしておらず、Google Play StoreやApple Storeの審査がなかなか通らない

Data Theorem社が提供するソリューション

Data Theorem社は、お客様のモバイルアプリケーションに対してSaaS型のセキュリティ診断サービスプラットフォームを提供します。Google Play StoreやApp Storeに公開されているアプリをリリース毎に自動でダウンロードし、日次で診断を実施し最新のセキュリティ脅威に対応します。また、リリース前の非公開アプリについてもお客様のCI/CDツールに組み込み、診断が可能です。

診断時のレポートについてはWeb上で確認いただけます。確認された問題については影響度の度合いに応じて優先度付けられます。必要な部分だけを必要なユーザのみに連携する仕組みも兼ね備えております。そのため、開発担当者とセキュリティ担当者が複数の部門や会社にまたがっている場合でも、共通の指針を持ちつつ、より良いアプリの開発へ向けたDevSecOpsのサイクルを回すことが可能となります。

Mobile Secure
① Mobile Secure
モバイルアプリケーションの脆弱性診断
  • モバイルアプリケーションの脆弱性を定額で自動的かつ継続的に診断
API Secure
② API Secure
APIに関わるセキュリティ診断
  • モバイルアプリケーションが利用しているAPIを可視化
  • 脆弱性のあるAPIの利用に関するアラート
  • APIリクエスト/レスポンスに含まれる個人情報等の検知とNotify 等
Web Secure
③ Web Secure
モダンなWebアプリケーションに関するセキュリティ診断
  • シングルページWebアプリケーション(SPA)を分析
    ※React、GraphQL、Angular、Vueなど
  • 埋め込まれたAPIと基盤となるクラウドリソースを診断

Data Theorem社 概要

本 社 US(パロアルト)
設 立 2013年
経営陣
  • Himanshu Dwivedi(CEO & FOUNDER)
  • Doug Dooley (COO)
導入実績
  • 100以上の顧客(米国上位7銀行のうち5銀行を含む、メディア、EC、SNS、大手金融、ゲーム会社等)
  • 4000以上のアプリで導入
導入企業 facebook, ebay, GAP, Netflix, Verizon, GoldmanSachs, salesforce, 等多数
製品カテゴリ モバイルアプリケーション セキュリティ診断サービス
提供形態 Cloud サービス
価格モデル 診断対象のアプリ数に応じた年間払い(1年契約)