プロフェッショナル サービス

Arxan またはArxanと提携している世界各地のサービスパートナーが、あらゆる市場でお客様の業務上のニーズをサポートします。Arxan のプロフェッショナル サービス チームがエンドツーエンドのサービスを提供し、お客様の Arxan 製品の実装をサポートします。Arxanはまず、ターンキー式のパッケージを提供し、併せてお客様企業の情報セキュリティ部門やシステム開発部門の皆様に、そのパッケージ製品に特化したトレーニングを提供します。また同時に、モバイルと IoT のインフラストラクチャに対する評価も実施し、お客様が自社環境でセキュリティを展開するためのプランを作成できるようにします。さらにお客様が今後のコード変更も専任のリソースで実施し、お客様ご自身で自己防御のルールを設定できるようになるための支援活動も行います。

Arxanのプロフェッショナル サービス チームは、保護のエンジニア、セキュリティ エキスパート、ソフトウェア アナリスト、コンピューター サイエンティストから構成されており、メンバーはいずれも専門分野の経験が豊富です。

  • ソフトウェア保護の構築
  • システム、ソフトウェア、アプリケーションの脆弱性の洗い出し
  • リバース エンジニアリング
  • ネットワーク セキュリティ
  • 暗号化
  • 検証ツールおよび検証の技法
  • セキュアなプロトコル

Arxanのチームは多様なサービスに対応し、最初の実装、リリースの更新、その他必要な場面で、アプリケーションの健全性を保護するエンドツーエンドのサポートをお客様に提供します。

プロフェッショナル サービスの要件に応じて、以下に示す 2 種類のモデルから適切なものを選択してください。 Screen Shot 2016-07-31 at 11.56.12 PM

モデル A: Arxan がターンキー方式で保護を提供

ステップ 1 リスク評価

Arxan は、対象システム上で攻撃のリスクが高い箇所を特定します。このリスク評価は、特定したリスクの全てに対処する、保護設計 (Protection Design) のベースとなるものです。

ステップ 2アプリケーション保護の設計

保護設計では、「リスク評価」で得られたデータを使い、お客様のセキュリティ要件がそのプロジェクトの成功の基準に合致していることを保証します。Arxanのベスト プラクティスを利用すると、以下が実現できます。

  • 攻撃のベクトルに対応したセキュリティ緩和策の決定
  • レイヤ (層構造) の防御策を結合し、相互接続したセキュリティ制御のネットワーク (Guards) を構築

ステップ 3成果物

  • アーキテクチャ設計の推奨案の提示
  • 適切な暗号鍵管理の実践
  • 防御ネットワーク図の作成
  • お客様自身で完全な保護を実装するために、提供可能な設計情報すべて

ステップ 4アプリケーション保護の実装

特定したセキュリティ要件を満たすアプリケーション保護を実装します。具体的には以下のとおりです。

  • キュリティのコンサルティング
  • 妥当性確認および検証テスト
  • テストのフレームワークが全ての健全性/パフォーマンス テストに合格することを確認
  • 実行可能なアプリケーションは、ソフトウェアとハードウェアの両方のコンポーネントを含めて、カスタマイズしたレイヤのアプローチによって保護
  • 独自の保護スキームについて完璧なドキュメントを作成
  • 高度な保護、統合ツール、テクノロジーに関するアドバイス

モデル B: お客様自身で保護を実装する場合

モデル B を選択されたお客様には、Arxan 製品の使い方に関するWeb ベースのトレーニングを無償で提供します。このトレーニングと、その教材として提供する製品ドキュメントで、カスタマイズした保護の構築プロセスに関して詳しく説明します。トレーニングを受講されたお客様には、上記の表で説明しているステップを進めて、保護プランを作成していただきます。プランの作成が完了したら、保護を実施したバイナリを Arxan に送付してください。Arxanのセキュリティ エキスパートが、実環境への展開前に、保護についての最終レビューを行い、アプリケーション保護のベスト プラクティスが適用されていることを保証して、強力で堅牢性の高い保護を実現します。

付加サービス:

トレーニングおよび教育

セキュリティの脅威とソリューションに関するお客様の理解を深めていただけるように、Arxanのセキュリティ エキスパートが全てのプラットフォームについて、製品の概要説明、トレーニング セッション、製品デモの実演を行います。Arxanはオンサイトとオフサイトの両方でサービスを提供します。

概要説明:

  • アプリケーション保護の概要
  • 「ハッキングの方法」ハッキングと脅威モデルの基礎知識
  • アプリケーション保護のベスト プラクティス
  • 製品トレーニング
  • 製品デモ

コンサルティング サービス

より深いレベルでの支援が必要なお客様には、Arxan のサービス エンジニアが、オンサイトでもオフサイトでも支援を提供します。例えば以下に挙げるような、幅広い特殊なニーズにもお応えします。

  • 優先度の高い部分についてのオンサイト支援
  • カスタマイズした保護の構築
  • ビルドの高度な統合の支援
  • 暗号化アーキテクチャのレビュー
  • バイナリのリスクを検出するためのペネトレーション テスト

保護の更新

アプリケーション保護のカスタマイズした部分については、定期的な更新が必要ですが、更新後も強力な保護を維持しなければなりません。この更新プロセスは、ソフトウェア開発のライフサイクル (SDLC) に組み込むことを強く推奨します。アプリケーション本体を新しいバージョンにアップグレードしたときにも、ソフトウェアの堅牢性を維持するためです。Arxan のサービス エンジニアは、既存の保護の更新と強化のプロセスだけでなく、Arxan のアプリケーション保護プロダクトを新しいバージョンにアップグレードすることにも熟達しています。Arxan のサービス エンジニアは、GuardSpec® の旧バージョンを迅速に更新し、Guard ネットワークを強化すると同時に Arxan 製品の機能の使い方を説明するなど、オンサイトでのお客様支援も行います。成果物:

  • GuardSpec セキュリティの更新版
  • インストール済みの Arxan 製品の更新版

モバイル アプリのバイナリ評価

モバイル アプリにどれだけの脆弱性が含まれているか、Arxan のサービス エンジニアがリスク評価を行います。モバイル アプリのバイナリ評価の詳細は、以下のとおりです。

  • ソース コードの露出
  • 関数名の露出
  • 静的データの露出
  • シンボルの露出
  • 検出したジェイルブレイクの露出
  • 認証の露出
  • 暗号化の露出
  • ライセンシングの露出
  • 課金の露出