公務員の危機管理広報|平時の備えから有事のメディア対応まで解説
catfish_admin
経営リスクナビ
スマホアプリ脆弱性診断とは?目的・費用・流れ・会社の選び方を解説
catfish_admin
スマートフォンアプリの新規リリースやアップデートを前に、セキュリティ対策は避けて通れない重要な課題です。特に、ユーザーの信頼を直接左右する脆弱性への対策は、サービスの安全性を確保し事業を継続させる上で不可欠と言えるでしょう。この記事では、スマホアプリの脆弱性診断とは何か、その目的から具体的な診断内容、プロセス、費用感、そして信頼できる業者を選定するためのポイントまでを網羅的に解説します。
目次
スマホアプリ脆弱性診断とは?目的と重要性
脆弱性診断の基本的な定義と実施する目的
スマートフォンアプリの脆弱性診断とは、アプリを構成するプログラムの不備や設定ミスに起因するセキュリティ上の欠陥(脆弱性)を専門家が調査し、特定するプロセスです。攻撃者に悪用される可能性のある侵入口を網羅的に洗い出すことで、サイバー攻撃による被害を未然に防ぐことを主な目的とします。
アプリが取り扱う顧客の個人情報やクレジットカード情報といった機密データを保護するためには、客観的な評価を通じて安全性を確保し、強化することが不可欠です。診断結果は、リスクの高さに応じた対策の優先順位付けを可能にし、限られたリソースで効率的にセキュリティレベルを向上させるための重要な指針となります。
脆弱性診断の主な実施目的
- サイバー攻撃による情報漏洩や不正アクセスなどの重大なインシデントを未然に防ぐ
- サービスの安全性を客観的に評価し、顧客や取引先からの信頼性を高める
- 発見された脆弱性のリスクを評価し、対応すべき対策の優先順位を明確にする
- 日々進化する新たな攻撃手法に対応するため、定期的なセキュリティチェックを行う
なぜスマホアプリに特化した診断が必要なのか
スマートフォンアプリは、Webサイトとは異なる特有の構造を持つため、それに特化した診断手法が不可欠です。アプリ本体が利用者の端末内に直接インストールされることから、Webアプリケーションにはない独自のリスクが存在します。
具体的には、端末内のデータ保存領域や、カメラ・位置情報といったデバイス固有機能へのアクセス方法に不備があると、情報漏洩や不正利用につながる恐れがあります。また、外部サーバーとの通信を担うAPIのセキュリティも極めて重要です。これらのスマホアプリ特有の性質を考慮した、専門的な診断項目による評価が求められます。
スマホアプリ特有の診断が必要となる理由
- アプリ本体が端末内のストレージにデータを保存するため、端末からの情報漏洩リスクがある
- カメラや連絡先、位置情報といったデバイス固有の機能にアクセスする際の制御が問われる
- プログラム本体が攻撃者によって解析(リバースエンジニアリング)されるリスクがある
- 利用者側のOSアップデート状況など、実行環境の多様性を考慮する必要がある
- サーバーと通信するAPIの仕様が、Webサイトとは異なる攻撃経路となりうる
脆弱性を放置した場合の事業への影響とセキュリティリスク
アプリの脆弱性を認識しながら対策を怠ると、事業の継続を脅かすほどの深刻な影響を及ぼす可能性があります。サイバー攻撃によって顧客情報が流出すれば、損害賠償や行政からの罰金といった直接的な金銭的損失に加え、サービスの停止に追い込まれることも少なくありません。
一度失われたブランドイメージや社会的信用を回復するには、莫大な時間とコストを要します。また、自社が被害者になるだけでなく、システムが乗っ取られて他社への攻撃の踏み台にされるなど、意図せず加害者になってしまうリスクも存在します。脆弱性は単なる技術的な課題ではなく、経営全体に関わる重大なリスクとして管理することが不可欠です。
脆弱性放置がもたらす主な事業リスク
- 経済的損失: 損害賠償金の支払いやサービスの長期停止による売上機会の損失
- 信用の失墜: ブランドイメージの低下による顧客離れや、取引先からの契約打ち切り
- ビジネス機会の喪失: セキュリティ体制の不備を理由とした提携や契約の破談
- 加害リスク: 自社のシステムがマルウェア感染の温床となり、サプライチェーン全体に被害を拡大させる
スマホアプリに潜む主な脆弱性とセキュリティリスク
クライアントサイドの主な脆弱性(データの不適切な保存など)
クライアントサイドの脆弱性とは、利用者のスマートフォン端末にインストールされたアプリ本体や、そのデータ保存領域に潜むセキュリティ上の問題点を指します。端末の紛失・盗難時や、悪意のある他のアプリが端末に侵入した場合に、情報漏洩の直接的な原因となります。
主なクライアントサイドの脆弱性
- 機密情報の不適切な保存: ログインIDやパスワードなどを暗号化せず、平文のまま端末内に保存している状態。
- バイナリ保護の欠如: プログラムが難読化されておらず、リバースエンジニアリングによってロジックや秘密鍵が解析されるリスク。
- 不適切なパーミッション設定: アプリが必要以上に多くの権限(カメラ、連絡先など)を要求し、侵害時の被害範囲を拡大させる。
サーバーサイドAPIの主な脆弱性(認証・認可の不備など)
多くのスマホアプリは、機能の実現のためにサーバーサイドのAPIと通信しています。このAPIに脆弱性が存在すると、特定の利用者だけでなく、サービス全体の利用者の情報が危険にさらされる大規模なインシデントにつながる恐れがあります。
主なサーバーサイドAPIの脆弱性
- 認証の不備: ログイン試行回数に制限がなく総当たり攻撃が可能であったり、推測容易なパスワードが設定できたりすることで、不正ログインを許してしまう。
- 認可制御の不備: ログイン後に、リクエスト内のIDを書き換えるだけで他人の情報にアクセスできてしまう問題(オブジェクトレベル認可の不備)。
- インジェクション攻撃: サーバー側での入力値チェックが不十分なため、データベースを不正に操作する命令を実行され、情報を窃取・改ざんされる。
通信経路における主な脆弱性(暗号化の不備など)
スマホアプリとサーバー間の通信が適切に保護されていない場合、公衆無線LANなどの盗聴されやすいネットワーク環境で、第三者に通信内容を傍受されるリスクがあります。これにより、送受信される個人情報や認証情報が漏洩する可能性があります。
主な通信経路の脆弱性
- 暗号化の不備: 通信が暗号化されていない(非HTTPS)ため、IDやパスワードが平文のまま送受信されている。
- 不適切なサーバー証明書検証: サーバーの正当性を検証する仕組みが不十分で、攻撃者がサーバーになりすます「中間者攻撃」を検知できない。
- 古い暗号化プロトコルの使用: 脆弱性が発見されている古いバージョン(TLS 1.0/1.1など)の暗号化プロトコルを使い続けている。
- 証明書ピニングの実装漏れ: 正規のサーバー証明書をアプリ内に固定する仕組みがなく、巧妙な中間者攻撃を防げない。
脆弱性が原因で発生した実際の事故事例
過去には、スマホアプリの脆弱性が原因で、企業の信頼を根底から揺るがす重大なセキュリティ事故が数多く発生しています。例えば、あるスマホ決済サービスでは、認証フローの不備を突かれて第三者による不正ログインが多発し、多額の不正利用被害が発生した結果、サービス停止に追い込まれました。
また、別のECアプリでは、プログラムの保護が不十分だったため、攻撃者によってアプリが改ざんされ、利用者が入力したクレジットカード情報が数千件規模で盗み取られる事件も起きています。これらの事例に共通するのは、単なるプログラムのバグではなく、認証・認可といったセキュリティ設計の根本的な甘さが原因となっている点です。ひとたび事故が発生すれば、金銭的な損失だけでなく、事業の継続そのものが困難になることを示しています。
スマホアプリ脆弱性診断の種類と主な診断項目
診断の対象範囲:クライアントアプリとサーバーサイドAPI
スマホアプリの脆弱性診断は、単体で完結するものではなく、システム全体を包括的に評価する必要があります。診断の対象は、大きく「クライアントサイド」と「サーバーサイドAPI」の2つの領域に分けられ、両者をセットで実施することが一般的です。
診断の主な対象範囲
- クライアントサイド(アプリ本体): 利用者の端末にインストールされるアプリのプログラムファイルや、端末内でのデータの保存方法、外部コンポーネントとの連携方法などを調査します。
- サーバーサイドAPI: アプリからのリクエストを受け付けて処理を行うサーバー側のプログラムを調査します。特に、認証や認可の仕組み、データの検証ロジックなどが重点項目となります。
静的診断(SAST)の概要と特徴
静的診断(SAST: Static Application Security Testing)は、プログラムを実行することなく、ソースコードやコンパイル後のバイナリファイルを解析して脆弱性を検出する手法です。開発プロセスの早期段階で実施できるため、問題の早期発見と修正コストの削減に貢献します。
静的診断(SAST)の主な特徴
- 実施タイミング: コーディング完了後など、開発の早い段階で実施できる。
- 診断方法: ソースコードを直接スキャンし、脆弱なコードパターンを検出する。
- メリット: 開発の手戻りを最小限に抑え、網羅的にコードをチェックできる。
- デメリット: 実行時の設定ミスや、外部システムとの連携に起因する問題は発見が難しい。
動的診断(DAST)の概要と特徴
動的診断(DAST: Dynamic Application Security Testing)は、アプリケーションを実際に動作させた状態で、外部から疑似的な攻撃リクエストを送信し、その応答や挙動から脆弱性を検出する手法です。実際の攻撃者の視点に近い形で、システム全体の安全性を評価できるのが特徴です。
動的診断(DAST)の主な特徴
- 実施タイミング: テスト環境などでアプリが動作する、開発の後期段階で実施する。
- 診断方法: 実際にアプリを操作しながら、疑似攻撃を含むリクエストを送信する。
- メリット: サーバーの設定不備など、実行環境を含めた総合的な問題を検出できる。
- デメリット: 診断ツールがアクセスした画面や機能しか検査できない。
手動診断(ペネトレーションテスト)の重要性と他の診断との違い
手動診断(ペネトレーションテスト)は、セキュリティ専門家が攻撃者の視点で、ツールでは検出が困難な脆弱性を探し出す診断手法です。特に、複数の機能を組み合わせることで発生するビジネスロジックの不備や、仕様を悪用した不正行為などを発見することに長けています。自動診断を補完し、より実践的なリスクを洗い出すために不可欠なプロセスです。
| 項目 | 自動診断(SAST/DAST) | 手動診断(ペネトレーションテスト) |
|---|---|---|
| 診断主体 | 診断ツール | セキュリティ専門家 |
| 主な対象 | 既知の脆弱性パターン | ビジネスロジックの不備、仕様の悪用、未知の脆弱性 |
| 精度 | 網羅的だが、過剰検知や検知漏れが発生することがある | 高精度で、ビジネス影響度を踏まえた実践的なリスクを特定 |
| コスト | 比較的安価 | 比較的高価 |
| 柔軟性 | 定型的なスキャンが中心 | 専門家が創意工夫を凝らした攻撃シナリオで検証 |
無料診断ツールと専門業者による有料サービスの違い
脆弱性診断には、無償で利用できるツールと、専門業者が提供する有償サービスがあります。無料ツールは手軽に基本的なチェックを行える一方、有料サービスは専門家による高精度な診断と手厚いサポートが受けられます。サービスの目的や求めるセキュリティレベルに応じて、これらを使い分けることが重要です。
| 項目 | 無料診断ツール | 専門業者による有料サービス |
|---|---|---|
| コスト | 無料 | 有料(数十万円~数百万円) |
| 診断範囲 | 限定的、基本的な項目が中心 | 広範囲、最新の脅威情報に基づいた項目 |
| 専門知識 | 利用者側に結果の解釈や対策を判断する知識が必要 | 不要(専門家が分析・報告) |
| 報告書の質 | 検出結果のリストが主で、解釈が難しい場合がある | 詳細な分析、危険度評価、具体的な対策案が記載される |
| サポート体制 | 基本的になし | 報告会での解説、質疑応答、再診断などのサポートがある |
スマホアプリ脆弱性診断の実施タイミングと依頼の流れ
脆弱性診断を実施すべき適切なタイミング(開発中・リリース前・定期的)
脆弱性診断は、一度実施すれば終わりではありません。サービスのライフサイクルに合わせて、適切なタイミングで継続的に実施することで、セキュリティレベルを維持・向上させることができます。
主な実施タイミング
- 新規サービスの本番リリース前: ユーザーに公開する前の最終防衛線として、網羅的な診断を実施する。
- 大規模な機能追加・改修時: コードの変更によって新たな脆弱性が生まれる可能性があるため、変更箇所を中心に診断する。
- 開発プロセス早期(シフトレフト): 静的診断(SAST)などを開発工程に組み込み、早期に問題を検出し手戻りを防ぐ。
- 定期的な診断(年1回など): サービスに大きな変更がなくても、新たな攻撃手法に対応するため定期的に実施する。
診断依頼から報告会までの一般的なプロセス
専門業者に脆弱性診断を依頼する場合、問い合わせから報告までの一連のプロセスは、いくつかのステップで進行します。診断をスムーズに進めるためには、各ステップで必要な準備を把握しておくことが重要です。
診断依頼から報告会までの流れ
- 問い合わせ・ヒアリング: 診断対象アプリの概要や要望を伝え、診断会社からサービス内容の説明を受ける。
- 診断プランの提案・契約: ヒアリング内容に基づき、診断範囲や手法、見積もりが提示され、契約を締結する。
- 診断準備: 診断用のテスト環境やアカウントの提供、必要な資料(API仕様書など)の共有を行う。
- 診断の実施: 専門家がツールと手動診断を組み合わせて脆弱性を調査する。重大な問題は速報されることもある。
- 報告書の作成: 発見された脆弱性の詳細、危険度評価、具体的な対策案をまとめた報告書が作成される。
- 報告会の実施: 報告書の内容について専門家から直接説明を受け、質疑応答を行う。
診断を依頼する際に準備すべき情報や資料
脆弱性診断の精度と効率を高めるためには、診断会社に対して事前に十分な情報を提供することが不可欠です。不足なく資料を準備することで、診断員はアプリの仕様を正確に理解し、調査の漏れを防ぐことができます。
診断依頼時に準備すべき主な情報・資料
- アプリケーションの設計資料: 仕様書、画面遷移図、機能一覧など、アプリの全体像がわかるもの。
- API仕様書: APIのエンドポイント一覧、リクエスト・レスポンスのフォーマット、パラメーターの詳細など。
- 診断用のテスト環境: 本番環境と同等の機能を持つ検証用環境(ステージング環境など)。
- 診断用のテストアカウント: 一般ユーザーや管理者など、複数の権限レベルを持つアカウント。
- アクセス許可情報: 診断を実施するサーバーのIPアドレスやURL、診断元のIPアドレスに対するアクセス許可設定。
診断範囲(スコープ)を適切に設定するための検討事項
診断範囲(スコープ)を適切に設定することは、限られた予算と期間の中で診断効果を最大化するために重要です。すべての機能を網羅するのが理想ですが、現実的にはリスクの高い機能から優先順位をつけて設定することが求められます。
診断範囲を設定する際の主な検討事項
- 機能の重要度: 個人情報や決済情報など、機密性の高い情報を取り扱う機能は最優先で対象とする。
- 認証・認可機能: ログイン、アカウント登録、パスワード変更など、セキュリティの根幹となる機能。
- 外部システムとの連携部分: 外部のサービスとデータをやり取りするAPI連携箇所。
- 診断の深度: ソースコードレビューまで含めるか、プラットフォーム層(OS、ミドルウェア)まで対象とするか。
- 予算とのバランス: 上記の要素を考慮し、予算内で最もリスクの高い箇所をカバーできるよう調整する。
スマホアプリ脆弱性診断の費用相場と料金体系
診断費用の相場観と価格を左右する要因
スマホアプリの脆弱性診断にかかる費用は、診断の対象や深度によって大きく変動します。簡易的なツール診断であれば数十万円から可能ですが、専門家による手動診断を含む場合は100万円~300万円程度がおおむね一般的な相場です。価格は主に、診断に必要なエンジニアの工数(作業時間)によって決まります。
診断費用を左右する主な要因
- 診断対象の規模: 画面数、機能数、APIのエンドポイント数が多いほど費用は高くなる。
- 診断の深度: ツールによる自動診断に加え、専門家による手動診断の割合が高いほど高額になる。
- 診断の対象範囲: クライアントサイドアプリのみか、サーバーサイドAPIも含むかで費用が変わる。
- その他要件: 短納期での対応や、特定のOS・デバイスでの診断など、特殊な条件がある場合は追加費用が発生することがある。
一般的な料金体系のパターンとそれぞれの特徴
脆弱性診断サービスの料金体系は、提供会社やサービス内容によって様々ですが、主に3つのパターンに分類されます。自社の開発スタイルや予算計画に合った料金体系を選ぶことが重要です。
| 料金体系 | 特徴 | 適したケース |
|---|---|---|
| 一括固定料金制 | 診断1回あたりの費用が明確で、予算管理がしやすい。 | 新規リリース前の単発診断や、年1回の定期診断など。 |
| 従量課金制 | 診断対象の画面数やAPI数に応じて費用が変動し、柔軟性が高い。 | 小規模な改修を都度診断したい場合など。 |
| サブスクリプション型 | 定額料金で、期間内に複数回または継続的な診断が受けられる。 | アジャイル開発のように、リリース頻度が高い場合。 |
再診断にかかる費用の考え方と注意点
脆弱性診断で発見された問題を修正した後、その対策が有効であるかを確認する「再診断」は非常に重要です。再診断の費用は、初回診断の料金に含まれている場合と、別途オプション料金となる場合があります。
契約前には、再診断の条件を必ず確認しましょう。多くのサービスでは、初回診断から一定期間内であれば、1回に限り無料または割引価格で再診断を提供しています。ただし、修正の過程で大幅な仕様変更があった場合や、無料期間を過ぎてからの依頼は、新規診断として扱われる可能性があるため注意が必要です。
再診断に関する注意点
- 初回診断の料金に再診断が含まれているか、その回数や有効期間を確認する。
- 無料/割引の対象範囲が「指摘箇所の修正確認のみ」か、周辺機能への影響も含むかを確認する。
- 大幅な機能改修後の確認は、新規の診断として追加費用が発生する場合がある。
- 修正対応に時間がかかり、再診断の依頼が遅れると無料期間が終了してしまう可能性がある。
信頼できる脆弱性診断会社の選び方のポイント
診断会社の技術力や実績を見極める方法
信頼できる診断会社を選ぶには、その会社が持つ技術力と実績を多角的に評価することが重要です。特に、自社のサービスと類似した業種での診断経験が豊富であるかは、重要な判断基準となります。
技術力と実績の見極め方
- 専門分野での実績: 金融やECなど、自社の業界における診断実績が豊富か確認する。
- エンジニアの技術力: ツール操作だけでなく、高度な手動診断ができる専門家が在籍しているか。
- 技術的な情報発信: 公式ブログやセミナーなどで、独自の調査研究や技術情報を公開しているか。
- ビジネスリスクの視点: 技術的な脆弱性の指摘にとどまらず、それが事業に与える影響まで分析できるか。
報告書の質と脆弱性発見後のサポート体制の確認
脆弱性診断の成果は、最終的に受け取る報告書の質によって大きく左右されます。また、診断後の修正を円滑に進めるためには、提供されるサポート体制も重要な選定ポイントです。
報告書とサポート体制の確認ポイント
- 報告書の具体性: 発見された脆弱性の再現手順や、具体的な修正コード例が記載されているか。
- 分かりやすさ: サンプルレポートを取り寄せ、開発担当者や経営層にとって理解しやすい内容か確認する。
- 診断後のフォロー: 報告会での質疑応答や、修正に関する技術的な相談に丁寧に対応してくれるか。
- 再診断の柔軟性: 修正完了後、スムーズに再診断を依頼できるプロセスが用意されているか。
見積もり内容の比較検討で注意すべき点
複数の診断会社から見積もりを取得して比較する際は、価格の安さだけで判断するのは危険です。提供されるサービス内容と価格のバランスが取れているかを慎重に見極める必要があります。
見積もり比較時の注意点
- 診断範囲の具体性: 「一式」といった曖昧な表現でなく、対象となる画面やAPIが明記されているか。
- 診断手法の内訳: 自動ツールと手動診断の作業工数や割合が記載されているか。
- 付帯サービスの有無: 報告会や再診断、Q&A対応などが基本料金に含まれているか、オプション料金かを確認する。
- 価格の妥当性: 極端に安い見積もりは、診断の深度が浅かったり、手動診断が省略されていたりする可能性があるため注意する。
セキュリティに関する資格や認証の有無の重要性
診断会社の信頼性を客観的に評価する指標として、公的な資格や第三者機関による認証の有無が挙げられます。これらは、診断会社が一定の技術水準や情報管理体制を維持していることの証明となります。
確認すべき主な資格・認証
- 組織の認証: ISMS (ISO/IEC 27001) など、情報セキュリティマネジメントシステムに関する認証を取得しているか。
- 専門家の資格: 情報処理安全確保支援士(登録セキスペ)などの国家資格や、国際的なセキュリティ認定資格を持つ技術者が在籍しているか。
- サービスの信頼性: 経済産業省の「情報セキュリティサービス基準適合サービスリスト」に登録されているか。
診断報告書の評価ポイントと社内での活用方法
診断報告書は、単に脆弱性の有無を確認するだけでなく、組織全体のセキュリティレベルを向上させるための重要な資料として活用すべきです。報告書の内容を社内で共有し、具体的なアクションにつなげることが重要です。
診断報告書の評価と活用方法
- 対応の優先順位付け: 報告された脆弱性のリスク評価(危険度)に基づき、修正対応の計画を立てる。
- ナレッジの共有: 開発チーム全体で指摘内容を共有し、同様の脆弱性を将来作り込まないための知見として蓄積する。
- 経営層への説明: 診断結果を基に、セキュリティ対策の現状と今後の投資の必要性を説明するための客観的な資料として活用する。
スマホアプリ脆弱性診断に関するよくある質問
脆弱性診断の実施にかかる期間の目安はどれくらいですか?
診断にかかる期間はアプリの規模や診断内容によって変動しますが、一般的には準備開始から報告会まで1ヶ月程度が目安です。ただし、診断会社の繁忙期には開始までに時間がかかることもあるため、リリース日から逆算して2ヶ月程度の余裕を持って相談を開始することをお勧めします。
期間の内訳(目安)
- ヒアリング・準備(約1週間): 要件定義、見積もり、契約、診断環境の準備などを行います。
- 診断の実施(約1~2週間): 診断ツールによるスキャンと、専門家による手動での調査を行います。
- 報告書の作成と報告会(約1週間): 診断結果を分析し、詳細な報告書を作成した上で、内容を説明する報告会が実施されます。
診断で脆弱性が発見された場合、どのように対応すればよいですか?
脆弱性が発見された場合は、パニックにならず、報告書の内容に基づいて冷静に対応を進めることが重要です。危険度評価を参考に、計画的に修正と確認のサイクルを回していくことが、確実なセキュリティ向上につながります。
脆弱性発見後の対応フロー
- 優先順位付け: 報告書に記載された危険度やビジネスへの影響度を基に、対応すべき脆弱性の優先順位を決定します。
- 修正対応: 緊急性の高い脆弱性から順に、開発チームがプログラムの改修やサーバー設定の変更を行います。
- 再診断の実施: 修正が完了したら、診断会社に再診断を依頼し、問題が確実に解消されたこと、また修正によって新たな不具合が生じていないことを確認します。
- 組織的な改善: 発見された脆弱性の原因を分析し、その知見を開発ガイドラインやチェックリストに反映して、組織全体の再発防止に努めます。
まとめ:自社アプリの価値を守るための脆弱性診断
本記事では、スマホアプリの脆弱性診断について、その目的から診断の種類、費用、信頼できる業者の選び方までを多角的に解説しました。アプリにはクライアントサイドやサーバーAPIなど特有のリスクが存在し、これらを放置することは情報漏洩や信用の失墜といった深刻な事業リスクに直結します。効果的な診断のためには、静的・動的診断といった自動ツールと、専門家による手動診断(ペネトレーションテスト)を目的に応じて組み合わせることが不可欠です。まずは自社アプリのどの機能が最も重要かを見極め、リリース前や定期メンテナンスといった適切なタイミングで診断計画を立てることが第一歩となります。その上で、複数の専門業者から見積もりを取得し、診断範囲や報告書の質、サポート体制を比較検討することで、自社に最適なパートナーを見つけることができるでしょう。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。当社は、企業取引や与信管理における“潜在的な経営リスクの兆候”を早期に察知・通知するサービス「Riskdog」も展開し、経営判断を支える情報インフラの提供を目指しています。
