東京エレクトロン デバイス株式会社 様

日本最大級のプライベート献立提案サービス『Ohganic(オーガニック)』スマホアプリを支えるスマホアプリセキュリティ診断とは

Case Study
東京エレクトロン デバイス株式会社 様

東京エレクトロン デバイス株式会社 様

東京エレクトロン デバイス株式会社は、最先端の半導体やネットワークシステムなどを高度な技術サポートと徹底した検証による品質保証とともに提供する技術商社です。
半導体製品、ボード製品、ソフトウェア、一般電子部品の購入・販売、および設計・開発を行うEC(電子部品)事業、及びネットワーク、ストレージ、ミドルウェア、ソフトウェアの各ソリューションの購入・販売を行うCN(コンピュータ・ネットワーク)事業を展開しています。

目次

導入サービス

■スマホアプリセキュリティ診断

スマホアプリセキュリティ診断サービスは、クライアントアプリに対して専門コンサルタントが手動による徹底的な診断を行い、その結果を分かりやすく報告するサービスです。APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを動作させることで生成される各種ファイルや機能の悪用可否を確認する「動的解析」の2種類の手法による診断を実施します。

プロフィール(※所属・役職は取材時現在のものです)
神本 光敬 氏
東京エレクトロン デバイス株式会社
CN事業統括本部 CN事業推進室 アプリケーションサービス企画グループ
神本 光敬 氏
船橋 良輔
グローバルセキュリティエキスパート株式会社
事業開発部 マネージャ
船橋 良輔
プロローグ

すべてを独自でアプリ開発をやってきたところで、セキュリティという点では外部のしかるべき視点を持ったベンダにチェックしていただくのが妥当であろうということで、今回の診断実施に至りました。

対談

■Ohganic(オーガニック)とは?

船橋

まず、日本最大級のプライベート献立提案サービス『Ohganic(オーガニック)』(以下、Ohganic)についてのコンセプトやサービス開発の経緯を教えてください。

神本氏

CN事業統括本部は、ITインフラソリューション(ストレージ、ネットワーク、データベース関係)を展開しています。昨今企業のITインフラは、クラウドへの移行が進み、購入者、プレイヤー及び、技術トレンドの変化も激しくなってきています。

コアであるITインフラ事業を、今後さらに伸ばしていくことは当然ですが、コア事業で培ってきたデータマネジメント技術を活かして、アプリケーションレイヤーまで含めた事業領域の拡大を目指すというのが元々のサービス開発経緯となっています。

実際、サービス開発の検討に入ったのは2011年。アプリケーションサービス事業の具体案を協議し、その中でOhganicのベースとなる案が生まれました。2012年4月から「アプリケーションサービス企画グループ」が新設され、実現に向けて私とエンジニア3名の計4名という構成で開発を開始し、2013年7月末にサービスをリリースしました。Ohganicは、コンピュータが利用者一人一人の要望に応じて、栄養バランスの良い献立を提案するサービスです。サービスの実現には、膨大なデータマネジメントと高速な情報処理基盤が必要です。それこそが、我々が取り組む意義であり、独自性の高いサービスの実現に繋がっていると考えています。

我々にとって、アプリケーションの独自開発は初めての挑戦でした。

企業様のみならず一般消費者様もご利用いただくようなアプリケーションのため、安定したサービスの実現は当然ですが、セキュリティについても、しっかりとした対応が必要でした。そのため、外部のしかるべき視点を持ったベンダにチェックしていただくのが妥当であろうということで、今回の脆弱性診断実施に至りました。

■Webからスマホアプリへの脆弱性診断の実施経緯

船橋

スマホアプリセキュリティ診断を実施した経緯を教えてください。

神本氏

Ohganicは当初Webサービス(ポータルサイト)のみを提供していました。その際、Webアプリケーションのセキュリティ診断をGSXさんにお願いし、短期的にきめ細かく色々な指摘事項をレポートいただき、しかるべき対処を行うことができました。その経験から今後スマホアプリを提供する際には、スマホアプリセキュリティ診断とWebアプリケーション診断を別々に実施するよりも統合的に診てもらえるベンダが適当であろうと考えておりました。

スマホアプリの診断は、簡易的な診断サービスが多い中、GSXさんはアプリの個別診断を人的労力(手動診断)を使ってきっちりやるサービスを提供されていましたので、最終的にお願いすることにしました。Webアプリケーション診断実績もあったことから、内容もご理解いただけており、なにかと効率的に進めることができました。今やスマートフォンの台頭により、Webサービスのみならず、スマートフォンアプリによるサービス提供はもちろんのこと、アプリ自体への脆弱性診断はスタンダードと考えています。

■スマートフォンアプリについて

船橋

Webサービス(ポータルサイト)に次いでスマートフォンアプリをリリースしたポイントはどんなところにあるでしょうか?

神本氏

献立やレシピの検索は、スマホ経由が主流となりつつあり、より便利にご利用いただける環境をご提供する必要がありました。現在はOhganicの利用者の9割はスマホアプリをご利用頂いています。

船橋

開発において、具体的にはどのような課題がございましたか?

神本氏

開発は、セキュリティの視点には十分配慮しながら進めていましたが、どうしても開発者視点・基準での判断に依存してしまう部分があり、本当にセキュリティリスクを排除出来ているのか判断がつかない状況でした。また対象もWeb, API, Appと複数に及ぶため、どのようにすれば効率よく確実なチェックができるか検討していました

船橋

のような解決策を検討されましたか?

神本氏

3つの脆弱性診断(Webアプリケーション診断/スマートフォン向けWebアプリケーション診断/スマホアプリセキュリティ診断)を一気通貫で実施し、コスト面・効率面からGSXさんを選びました。(下図参照)

船橋

スマホアプリセキュリティ診断を実施した経緯を教えてください。

神本氏

Ohganicは当初Webサービス(ポータルサイト)のみを提供していました。その際、Webアプリケーションのセキュリティ診断をGSXさんにお願いし、短期的にきめ細かく色々な指摘事項をレポートいただき、しかるべき対処を行うことができました。その経験から今後スマホアプリを提供する際には、スマホアプリセキュリティ診断とWebアプリケーション診断を別々に実施するよりも統合的に診てもらえるベンダが適当であろうと考えておりました。

スマホアプリの診断は、簡易的な診断サービスが多い中、GSXさんはアプリの個別診断を人的労力(手動診断)を使ってきっちりやるサービスを提供されていましたので、最終的にお願いすることにしました。Webアプリケーション診断実績もあったことから、内容もご理解いただけており、なにかと効率的に進めることができました。今やスマートフォンの台頭により、Webサービスのみならず、スマートフォンアプリによるサービス提供はもちろんのこと、アプリ自体への脆弱性診断はスタンダードと考えています。

対象範囲のリスクと診断対象図

■GSXを選択して良かったポイント

船橋

GSXを選んで良かった点は何だと思いますか?

神本氏

脆弱性診断を実施するに当たり、対象範囲の優先度をセキュリティエンジニアの観点で提案してくれたことですね。Web/APIだけでなく、スマホアプリの脆弱性までトータルで提供いただき、セキュリティエンジニアならではの提案や改修レベルが高いところがポイントですね。何よりも我々の視点で色々と調整いただけたことが大変助かりました。

■脆弱性診断の効果・効用

神本氏

今後のサービス拡張を見据え、脆弱性は逐次潰す必要があります。度重なる診断を通してセキュアな開発プロセス(セキュアプログラミング)の注意点などを把握することができました。今後の開発に活かしていけると思っています。

■今後の展望について

船橋

今回の開発されたOhganicサービスのビジネスプランや今後の展望をお聞かせください。

神本氏

Ohganicは一般消費者様向けに完全に無償でご提供しています。この事業においては3つの視点でビジネス化を目指しています。

1つ目は、Ohganicアプリ内でのメディア事業の展開です。Ohganicは利用者の健康、嗜好、目的を理解して情報提供するサービスですので、その特徴を活かして、企業様のマーケティング活動のご支援ができればと考えています。そのためには利用者の方がOhganicサービスに価値を感じて頂く事が大前提となります。2013年7月末にサービスリリースしてから半年強が経過していますが、利用者様に継続的にご利用頂ける事を実証できており、その数も日々増えております。
今後もっと多くの方にご利用頂けるようサービスを強化し、事業化を進めて参ります。

2つ目は、Ohganicの機能をAPIとして提供していく事業の可能性も探っています。Ohganicはコンピュータが栄養計算をして”キュレーション”的に一人一人にあった献立を提案する仕組みですので、こうした機能をAPIとして提供し、企業様のサービスに活用頂ければと考えています。

3つ目は、Ohganicのコア基盤技術のソリューション提供です。献立をコンピュータが考えるという仕組みは、膨大な組合せの中からより良い情報をリアルタイムに抽出する仕組がベースとなっています。弊社では、この組合せ最適化問題の解決を遺伝的アルゴリズム(※1)を応用する事で可能にしています。

Ohganicでは、このアルゴリズムを「食」というテーマに対して使っています。ただ、世の中には様々な組合せパターンをもったテーマがあります。例えばファッションコーディネートもその一例かと思います。コンピュータが嗜好を理解し自動的にコーディネートする事は技術的には可能です。

例えばファッションの会社さんと組んで、服の相性、柄物の組み合わせ、季節、原色・暖色等のポリシーを決め、あとはコンピュータが考えて毎日のコーディネートを提案するようなイメージです。その他の業界にも可能性はあると思っています。
今後の展開に是非ご期待ください。

※1:組み合わせ問題を解く手法の1つで、「一番良い答えという保証はないが、かなり良い答えを素早く出す」ことを得意とするアルゴリズム

アプリケーションサービス企画グループの皆様と記念撮影 アプリケーションサービス企画グループの皆様と記念撮影
(左から成田様、神本様、坂本様、横田様、鈴木様)
導入会社プロフィール

会社名

東京エレクトロン デバイス株式会社

本社所在地

東京都新宿区西新宿3-7-1 新宿パークタワー S34階

設立

1986年3月3日

資本金

24億9,575万円

従業員

948名(連結)

事業内容

・EC(電子部品)事業
・CN(コンピュータ・ネット ワーク)事業

導入サービス概要

■スマホアプリセキュリティ診断

スマホアプリセキュリティ診断サービスは、クライアントアプリに対して専門コンサルタントが手動による徹底的な診断を行い、その結果を分かりやすく報告するサービスです。APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを動作させることで生成される各種ファイルや機能の悪用可否を確認する「動的解析」の2種類の手法による診断を実施します。

東京エレクトロン デバイス株式会社様 導入事例紹介リーフレット

本記事のシェアはこちらから

お問い合わせはこちら