Service
スマートフォンアプリケーション脆弱性診断サービス
スマートフォンアプリケーション(スマホアプリ)脆弱性診断サービスは、スマートフォンやタブレット端末内のアプリケーションに内在する脆弱性を診断するサービスです。
導入メリット
- POINT1 個人情報・機密情報の漏えいや、課金機能を持つアプリの不正利用などの原因となり得る脆弱性の有無を診断するため、セキュリティリスクを低減できます。
- POINT2 スマートフォンアプリケーションの現状を診断するだけでなく、専門家による具体的な対策をご提案しますので、より安全なアプリケーション開発を実現できます。
- POINT3 セキュリティに改善点があった場合、修復・対策後の安全確認もサポートしておりますので、安心してアプリケーションを運用いただけます。
スマートデバイスのセキュリティリスク
多くのスマートフォンやタブレットユーザーは、個人情報や連絡先をデバイスに保存し、商品購入や金融取引にも利用しています。一方、市場での利用シーンが多いことで、サイバー犯罪者のターゲットとなっているのも事実です。スマートデバイス向けアプリケーションのセキュリティリスクを正しく把握し、対策を実施することは、アプリケーション提供元にとって、ビジネスへの損害や企業の信頼性低下を防ぎ、価値の高いアプリケーションをユーザーに提供し続けるための重要なテーマとなります。
スマホアプリ脆弱性診断の環境イメージ
診断対象となるアプリケーションと、スマートフォンやタブレットなどのデバイスを用いて、アプリケーションサーバーとの通信内容や、端末内に保存されるデータを確認する動的な診断、ならびに診断ツールを用いたアプリケーションの設定を確認する静的な診断を実施します。
スマホアプリの脆弱性診断内容
カテゴリ | 脅威名 | 対応OS | 診断プラン | ||
---|---|---|---|---|---|
Android | iOS | ライト | フル | ||
通信診断 | 意図しない通信 | ||||
平文による情報送受信 | |||||
SSL/TLS証明書検証の不備 | |||||
端末内データ診断 | 平文による内部ストレージへの重要情報保存 | ||||
データ改ざんによる不正行為 | |||||
ファイルパーミッションの設定不備 | |||||
外部ストレージ(SDカード)への重要情報保存 | |||||
デバッグログへの重要情報出力 | |||||
設計・実装診断 | コンテントプロバイダのアクセス制御不備 | ||||
公開Activityなどからの重要情報の漏えいなど | |||||
WebView関連の脆弱性 | |||||
耐タンパ―性の不足 | |||||
アプリへの秘密情報埋め込み | |||||
ライブラリ、フレームワークの既知脆弱性 |
スマホアプリ脆弱性診断サービスのご提供フロー
スマホアプリ脆弱性診断フローとアフターフォロー
診断フロー
当社の診断は下記の流れで実施いたします。
- 1.脆弱性の危険度判定
- 2.危険度の分析、ご報告
- 3.診断結果を基に対策方法のご提案
1.脆弱性の危険度判定
① 情報漏えい、② アプリケーション不正利用、③ 脆弱性の継承、④ マルウェア誤認のリスクについて危険度を判定
2.危険度の分析、ご報告
危険度判定の結果を分析し、報告書を作成の上、ご提出
3.診断結果を基に対策方法のご提案
JSSEC「セキュアコーディングガイド」や総務省「スマートフォン プライバシーイニシアティブ」、Apple「iOSアプリケーション プログラミングガイド」など安全なアプリケーションの開発ルールガイドに沿った具体的な対応策をご提案
アフターフォロー
対策方法のご提案だけでなく、修復いただいた後の安全確認まで当社で行いますので、診断・セキュアコーディングや安全利用ガイドなどからの具体策のご提案・問題の修復確認まで全てお任せいただけます。
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。