-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
テクノロジーリスクコンサルティング部の安田です。
⼀般社団法人スマートフォンセキュリティ協会(JSSEC)が公開するセキュアコーディングガイドに準拠してモバイルアプリの問題点を自分で発見し、安全なアプリに修正する「モバイルアプリケーションセキュリティ対策手順書」を、2023年9月に公開しました。その後、読者の方からAndroidアプリだけではなく、iOSアプリも実際に自分で直してみたいという声をいただきました。
iOSアプリのサイドローディングの義務化
ラックにiOSアプリのセキュリティについてお問い合わせをいただくことが増えただけでなく、iOSアプリのサイドローディングの義務化が懸念されており、iOSアプリの開発時にもセキュア設計の原則を実践できないかという相談を受けています。
サイドローディングの義務化による問題
サイドローディングとは、公式のApp Storeを経由せずにアプリケーションをデバイスにインストールする方法で、日本政府が米Appleへ要請しているものです。これは一般的には開発者やテスターがアプリケーションをテストするために使用していますが、攻撃者が不正なアプリケーションを配布するために使用する可能性があります。
iOSアプリケーションをインストールするユーザーへの問題点
公式のApp Storeは、ユーザーを保護するための一定のガイドラインと規制を設けています。しかし、サイドローディングの義務化が米Appleに受け入れられた場合、これらの保護措置が弱まる可能性があります。そのため、サイドローディングにより配布されるアプリケーションにはマルウェアが含まれるなど、ユーザーが不正なアプリケーションをインストールするリスクが高まり、ユーザーのデバイスやデータを危険にさらす恐れがあります。
また、公式のApp Storeを経由せずにインストールされたアプリケーションは、最新のセキュリティアップデートやパッチを受け取ることができません。これにより、既知の脆弱性を悪用されるリスクが増加します。サイドローディングの義務化は、開発者が自身のアプリケーションを直接ユーザーに提供できるようにするためにフェアな競争環境が得られますが、同時に一定のリスクが伴います。
iOSアプリケーション開発者への問題点
iOSアプリケーション開発では、Androidアプリの開発と同様に、データ保護、通信の安全性、プライバシーなどのセキュリティ課題に対処することが重要です。また、サイドローディングは便利な仕組みである一方で、前述の通り、不正なアプリケーションのインストールやセキュリティアップデートの欠如といった問題を引き起こす恐れがあります。さらに、サイドローディングの義務化は新たなリスクをもたらす可能性があります。
これらの課題を解決するためには、開発者は最初からセキュリティを考慮し、アプリケーションのライフサイクル全体でそれを維持する必要があります。これには、セキュアなコーディングプラクティスの採用、定期的な問題点の検出の実施、エンドユーザーへの適切な教育などが必要です。
そのために、アプリ開発者と業界全体が協力してセキュリティスタンダードを高め、ユーザーのデータとプライバシーを保護することが求められています。
モバイルアプリケーションセキュリティ対策手順書~iOS編
そこで、実際にiOSのサンプルアプリを開発し、問題点を修正する手順書「モバイルアプリケーションセキュリティ対策手順書~iOS編」を公開しました。
今回の手順書では、Open Web Application Security Project(以下、OWASP)が公開するセキュアコーディングガイド(Mobile Application Security Design Guide:以下、MASDG)に準拠してモバイルアプリの問題点を自身で発見し、安全なアプリに修正する流れを解説しています。
※ Mobile Application Security Design Guide | OWASP Foundation
手順書では、修正する流れを体感できるようにXcodeで開発されたサンプルコードを使用し、MASDGのセキュアコーディングガイドに準拠しているかどうか、Secure Coding Checkerを使用して確認していきます。サンプルコードには問題点が含まれていますが、Secure Coding Checkerが問題点を検出し修正内容をガイドするため、容易に開発者自身でサンプルコードを修正し、アプリから問題点を無くすことを体験できます。
手順書で使用したシステム環境等
- MASDG セキュアコーディングガイド 2023年4月1日版
- Xcode 14
- SWIFTプログラミング言語
- Secure Coding Checker Version 2023.06.07
ぜひ、自身で手を動かしながらモバイルアプリの問題点を検出し、安全なモバイルアプリ開発に取り組んでみてください。
ホワイトペーパー
「モバイルアプリケーションセキュリティ対策手順書~iOS編」
のダウンロードはこちらから
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR