Service

スマートフォンアプリケーション脆弱性診断サービス

スマートフォンアプリケーション脆弱性診断は、スマートフォンやタブレット端末内のアプリケーションに内在する脆弱性を診断するサービスです。

導入メリット

  • POINT1 個人情報・機密情報の漏えいや、課金機能を持つアプリの不正利用などの原因となり得る脆弱性の有無を診断し、セキュリティリスクを低減します。
  • POINT2 現状を診断するだけでなく、セキュアなアプリケーション開発の具体的な対策もご提案いたします。
  • POINT3 修復・対策後の安全確認もサポートしますので、安心してアプリケーションを運用いただけます。

スマートデバイスのセキュリティリスク

多くのスマートフォンやタブレットユーザーは、個人情報や連絡先をデバイスに保存し、商品購入や金融取引にも利用しています。一方、市場での利用シーンが多いことで、サイバー犯罪者のターゲットとなっているのも事実です。スマートデバイス向けアプリケーションのセキュリティリスクを正しく把握し、対策を実施することは、アプリケーション提供元にとって、ビジネスへの損害や企業の信頼性低下を防ぎ、価値の高いアプリケーションをユーザーに提供し続けるための重要なテーマとなります。

診断環境のイメージ

診断対象となるアプリケーションと、スマートフォンやタブレットなどのデバイスを用いて、アプリケーションサーバーとの通信内容や、端末内に保存されるデータを確認する動的な診断、ならびに診断ツールを用いたアプリケーションの設定を確認する静的な診断を実施します。

診断内容

カテゴリ 脅威名 対応OS 診断プラン
Android iOS ライト フル
通信 意図しない通信
平文による情報送受信
SSL/TLS証明書検証の不備
端末内データ 平文による内部ストレージへの重要情報保存
データ改ざんによる不正行為
ファイルパーミッションの設定不備
外部ストレージ(SDカード)への重要情報保存
デバッグログへの重要情報出力
設計・実装 コンテントプロバイダのアクセス制御不備
公開Activityなどからの重要情報の漏えいなど
WebView関連の脆弱性
耐タンパ―性の不足
アプリへの秘密情報埋め込み
ライブラリ、フレームワークの既知脆弱性

サービスご提供フロー

脆弱性診断の報告とフロー

診断報告とアフターフォロー

脆弱性診断では問題箇所について危険度を判定し報告いたします。同時に安心安全なアプリケーション開発の具体的な対策も提案いたします。また改修後に問題が修復したことを確認いたします。

1 脆弱性の危険度判定

①情報漏えい、②アプリケーション不正利用、③脆弱性の継承、④マルウェア誤認のリスクについて危険度を判定し、問題箇所を申告いたします。

2 具体的な対策

JSSEC「セキュアコーディングガイド」や総務省「スマートフォン プライバシーイニシアティブ」、Apple「iOSアプリケーション プログラミングガイド」など安全なアプリケーションの開発ルールガイドに沿った具体的な対応策を提案いたします。

3 修正後の確認

問題箇所について改修後にチェックし、アプリケーションの安全を確認いたします。

セキュアコーディングや安全利用ガイドなどから具体策を提案。問題の修復確認まで行います。

掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。