検証サービス
スマートフォンアプリケーションセキュリティ診断
スマーフォン向けアプリに潜む脆弱性を検査し、
セキュアなアプリ開発を支援
- このような方にお勧めします
-
- Androidアプリ、iOSアプリ開発を外部委託している企業
- Androidアプリ、iOSアプリ開発事業者
- このような悩みを解決します
-
- 開発したスマートフォンアプリに脆弱性がないか不安
- これまでにセキュリティ診断を実施したことがない
- アプリのリリース前にセキュリティ診断でリスクを把握したい
スマートフォンアプリケーションセキュリティ診断とは
検出された脆弱性の発生原因、被害予測、具体的な対応策まできめ細やかにサポート。急増するスマートフォンアプリのセキュリティインシデント。セキュリティ診断が、セキュアなスマホアプリ開発をバックアップします。
ユーザーが端末にダウンロードして利用するスマートフォンアプリでは、端末側で発生する問題とスマートフォンアプリケーションが通信するWebサイト側で発生する問題が存在します。 スマートフォンアプリケーションセキュリティ診断ではAndroidアプリやiOSアプリを解析し、情報漏えいのリスクや悪用される可能性、Webサイトへの不正アクセスの可能性などについて詳細に分析。検出された脆弱性についての対応策までをサポートします。
診断項目の代表例
- データ保管の危険性
- サーバー上の安全対策不備
- クライアント側からのインジェクション攻撃
- セッションの不適切な取り扱い
その他、Androidアプリ限定のオプションもございます。詳細は診断項目を参照してください。
特 色
POINT 1
Webアプリ市場とともに広がる被害を未然に回避
モバイルデバイスの急激な普及と進化により、モバイルマルウェアが増加し、モバイルデバイスをターゲットとした攻撃が急増しています。2013年現在Androidを標的としたマルウェア数が圧倒的ですが、iOSにも多くの脆弱性が報告されており、中長期的視野からはいずれのOSでもより高度なセキュリティ水準が求められています。 スマートフォンアプリケーションセキュリティ診断では、Webサーバーサイドアプリケーションの脆弱性と、アプリケーション内に潜在する脆弱性の双方向から診断します。インストール時に過剰な権限を求めることにより、アプリケーション本来の動作に不要な機密情報を危険に晒していないか、暗号化された情報の復号化が可能であるか、復号化後のデータに個人情報や個人情報漏えいにつながる機密情報は含まれていないか…など、検証のプロならではのさまざまな観点から検証を実施。信頼に値するセキュアなアプリケーション開発を可能にします。
用語解説
- Webサーバーサイドアプリケーション【 server-side application 】
- 利用者のコンピューター上でなく、Webサーバー内で処理を行うプログラムを利用したアプリケーション。ブログ、掲示板、オンラインショッピングなど。
POINT 2
通信の安全性診断
一般的なスマートフォンアプリケーションはブラウザーからのWebアクセスと同様のプロトコルを利用してサーバーと通信します。この通信内容は容易に改ざん可能なため、SQLインジェクションやOSコマンドインジェクション、その他の攻撃を許してしまう脆弱性が存在する場合があります。想定外の値の入力や、想定外箇所へのアクセスなど、不正な操作による被害発生の可能性など、開発者自身のチェックでは見落とされがちな点まで詳細に検証します。
POINT 3
データ保存の安全性
多くのスマートフォンアプリは位置情報や氏名、メールアドレスなどの重要な個人情報を使用しています。アプリによって保存された各種データやファイルの不正使用や情報漏えいリスクについても評価・分析します。
サービス構成
実施内容・実施条件などのお打ち合わせ後、対象のスマートフォンアプリのビジネス規模や、保有している機密情報の性質に応じたテストシナリオを作成。経験豊富な検証エンジニアが手作業・またはツールを使用して検証を行います。診断後は、検証結果の報告・報告内容に関するお問い合わせへの対応・対策を講じた後の再現性確認まで、万全のサポート体制でスマートフォンアプリのセキュリティ面をサポートします。
診断項目
| 診断項目名 | 診断概要 |
|---|---|
| データ保管の危険性 | 秘匿とすべき情報の保存場所や保存方法 |
| サーバー上の安全対策不備 | Webアプリケーションの脆弱性診断項目を評価します |
| トランスポートレイヤー 保護の不備 | 秘匿すべき情報の送受信時に暗号化通信が使用されているか、証明書の検証エラーが無視されていないかを評価します。 |
| クライアント側からの インジェクション攻撃 | 端末側アプリケーションに対するクロスサイトスクリプティングやSQLインジェクション攻撃が可能であるか、電話やSMSなど端末特有機能の悪用が可能であるか評価します |
| 認証や認可の問題 | 認証および認可処理が適切に実施されているか(端末IDにのみ依存した認証となっていないかなど)を評価します。 |
| セッションの不適切な取り扱い | セッション管理手法を評価します。セッション管理識別子に端末IDや固定値が使用されていた場合、脆弱性として報告します。 |
| 信頼できない入力の取り扱い | アプリケーションが外部から呼び出し可能なインターフェース(AndroidではIntent、iOSではURLスキーム)を提供する場合の悪用の可能性について評価します。 |
| 横道(副経路)からの データ漏えい | サードパーティアプリケーションを経由してログやキャッシュなどから個人情報などの機密情報が漏えいする可能性がないか診断します。 |
| 暗号化の安全性 | 暗号化データの複合テストを行います。複合した値が秘匿すべき情報であった場合、脆弱性として報告します。 |
Androidアプリ限定の診断項目
| 診断項目名 | 診断概要 |
|---|---|
| 秘匿とすべき情報の漏えい | パスワード、キーなどの機密情報がハードコーディングされていないか確認します。リバースエンジニアリングにより機密情報が取得できた場合、脆弱性として報告します。 |
| 過剰な権限要求 | インストール時に本来アプリケーションが必要とする以上の権限が要求されていないか診断します。 |
用語解説
- ハードコーディング【 hard coding 】(ハードコード)
- 特定の条件下で動作することを前提として、処理やデータをソースコードの中に直接記述するプログラミング方式。「ハードコード」ともいう。年を西暦表示するために「19xx」と記述したり、入力を求めるメッセージ「○○をご記入ください」について日本語以外の言語対応を想定せずプログラムファイル本体に直接記述したりする方式。
- リバースエンジニアリング 【 reverse engineering 】
- ソフトウェアやハードウェアを解析・分解して仕組みや仕様、目的、構成部品、要素技術などを解明すること。プログラム分野では、モジュール間の関係やシステムの基本仕様の分析といった行為を指すことも多い。
サービス実施イメージ
- ■対象:AndroidアプリケーションまたはiOSアプリケーション
- ■条件など:弊社診断端末に診断対象アプリケーションをインストールし、リモート診断
- ■診断日数:1営業日~
- ■納品物:検査結果報告書、報告会実施
- ■費用:70万円(7画面程度のスマートフォンアプリケーションの場合)
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
