セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

スマートフォンアプリケーション診断

Inspection & Consulting

ラック独自の技術でスマホアプリに
セキュリティリスクがないかを診断、トラブルを未然に防ぐ

スマートフォンアプリケーション診断は、スマートフォンアプリケーション(AndroidおよびiOS)にセキュリティ上の問題がないか、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)やOWASP(Open Web Application Security Project)Mobileプロジェクトから必要な項目を抽出するといった手法によるラック独自の基準で診断します。

サービスの強み

スマホアプリのリスクをあぶり出す最多水準の診断項目

スマートフォンアプリケーション診断のイメージ

業界最多水準の診断項目数で検出した問題点について、リスク、対策方法、再現手順を明記した上で、レポートします。例えば、スマートフォンアプリケーション診断、診断結果速報(Highリスク)、診断結果報告書、お問い合わせ対応(3カ月間)は標準でサービス提供し、診断結果速報(Mediumリスク、Lowリスク)、診断結果報告会、再診断はそれぞれオプションで提供します。

迫るスマホアプリの脅威を的確に把握し、対策を検討

  1. サーバとの通信における脅威を検出
    HTTP通信による重要情報送信、危殆化した暗号化方式の利用、サーバ証明書の不備など、サーバとの通信において脅威となり得る事柄を検出し、対策を検討します。
  2. アプリケーション解析によって
    脅威を見つける
    ソースコード内の重要情報の記述、マニフェストファイルの設定などを確認してアプリケーションを解析、脅威を見つけます。
  3. アプリケーション操作上における
    脅威に対応する
    利用規約およびプライバシーポリシーの整備、ログイン/ログアウト機能の実装などアプリケーションの操作における脅威を発見し、対応します。

サービスの流れ

  1. 事前準備
    5営業日程度
    ①ヒアリング​
    打ち合わせを実施し、見積もりに必要な情報を収集
    ②見積もり​
    ヒアリング結果をもとに弊社側で見積もりを作成
    ③受発注処理、問診票の記入
    事前調査開始までに、受発注処理と並行して診断対象やアカウントなどの情報を記入する問診票を提出していただく
  2. 診断作業​
    10営業日程度
    ④事前調査​
    アプリケーションを実際に操作し、機能や送信先ドメインなどを調査​
    ⑤診断​
    問診票や事前調査の結果をもとに診断を実施(開始・終了時はメールでご連絡)
    ⑥緊急速報​
    Highリスクの脆弱性が検出された場合は検出後1営業日以内に提出
  3. 結果報告​
    10営業日程度
    ⑦診断結果速報(オプション)​
    診断で検出された問題点の要約を3営業日程度で提出
    ⑧診断結果報告書​
    具体的な再現方法なども記載した報告書を10営業日程度で提出​
    ⑨診断結果報告会
    ​お客様先に伺い、診断結果を報告書ベースで報告(質疑応答も対応)
  4. お問い合わせ​
    3カ月間​
    ⑩お問い合わせ​
    診断結果報告書納品後3カ月間、診断結果などに対するお問い合わせに対応

※ Highリスク:攻撃者の積極的なアプローチによって情報漏えいやアプリケーションの不正利用などの実害に結びつく可能性のある問題であり、早急に対策が必要

スマホアプリのリスクをあぶり出す最多水準の診断項目

業界最多水準の診断項目数で検出した問題点について、リスク、対策方法、再現手順を明記した上で、レポートします。例えば、スマートフォンアプリケーション診断、診断結果速報(Highリスク)、診断結果報告書、お問い合わせ対応(3カ月間)は標準でサービス提供し、診断結果速報(Mediumリスク、Lowリスク)、診断結果報告会、再診断はそれぞれオプションで提供します。

サービス項目

項目 標準/オプション
スマートフォンアプリケーション診断 標準
診断結果速報(Highリスク) 標準
診断結果速報(Mediumリスク、Lowリスク) オプション
診断結果報告書 標準
診断結果報告会 オプション
再診断 オプション
お問い合わせ対応(3カ月間) 標準

対象プラットフォーム

  • Android
  • iOS

※ 診断対象アプリケーションがサポートするOSバージョンを任意に1つ選択して実施

診断場所

  • リモート
  • オンサイト(オプション)

定型の診断以外にもカスタマイズとして承ることができます。過去には、以下のような取り組みを実施しました。

  • 独自実装したroot化/jailbreak検知機能のチェック
  • アプリを起点としたペネトレーションテスト
  • アプリの設計評価
  • アプリ作成ガイドライン策定の支援

大規模な不具合を未然に防ぎビジネス価値創出へ

スマートフォンアプリケーション診断を実施することで、アプリによる不具合を見つけ、再現できます。自信を持ってリリースしたはずのアプリが思わぬ不具合を出すといったリスクを実機診断など交えて回避し、想定通りのビジネス価値を生み出せるのです。

1. サーバとの通信における脅威

診断項目 確認内容
HTTP通信による重要情報送信 平文による重要情報の送信状況
危殆化した暗号化方式の利用 暗号化方式の強度
サーバ証明書の不備 サーバ証明書の運用状況

※ 診断項目は一例です

2. アプリケーション解析における脅威

診断項目 確認内容
ソースコード内の重要情報の記述 ソースコードから重要情報の漏えいの可能性
マニフェストファイルの設定 マニフェストファイルの設定内容
コンポーネントの公開設定不備 アプリケーション間連携における各コンポーネントの公開設定
ログの出力内容 システムログの出力内容

※ 診断項目は一例です

3. アプリケーション操作上における脅威

診断項目 確認内容
利用規約およびプライバシーポリシー 利用規約およびプライバシーポリシーの記載内容
ログイン/ログアウト機能の実装 ログイン機能およびログアウト機能の実装方法
重要情報の取り扱い パスワードやクレジットカード情報の取り扱い状況
入力値の妥当性 ユーザからの入力内容の妥当性検証状況

※ 診断項目は一例です

最近は特に、決済、IoTや産業などさまざまな分野で新たにスマホアプリが使われるようになっています。安易な採用にならないように、スマホアプリの安全性を担保するための診断を実施する必要があります。米国など海外でも、企業が提供するアプリが危険な状態になっており、それを放置する例が増えているといわれています。いま、スマートフォンアプリケーション診断は必須といえるサービスです。アプリのリリース前が理想ですが、リリース後でも十分効果が期待できます。

価格

アプリケーションごとに個別見積りいたします。

「スマートフォンアプリケーション診断」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top