株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

セキュリティ診断

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断は、スマートフォンアプリケーション(AndroidおよびiOS)にセキュリティ上の問題がないか、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)やOWASP(Open Web Application Security Project) Mobileプロジェクトから必要な項目を抽出するといった手法によるラック独自の基準で診断します。

スマートフォンアプリケーション診断のイメージ
スマートフォンアプリケーション診断のイメージ

スマホアプリのリスクをあぶり出す最多水準の診断項目

業界最多水準の診断項目数で検出した問題点について、リスク、対策方法、再現手順を明記した上で、レポートします。例えば、スマートフォンアプリケーション診断、診断結果速報(Highリスク)、診断結果報告書、お問い合わせ対応(3カ月間)は標準でサービス提供し、診断結果速報(Mediumリスク、Lowリスク)、診断結果報告会、再診断はそれぞれオプションで提供します。

サービス項目

項目 標準/オプション
スマートフォンアプリケーション診断 標準
診断結果速報(Highリスク) 標準
診断結果速報(Mediumリスク、Lowリスク) オプション
診断結果報告書 標準
診断結果報告会 オプション
再診断 オプション
お問い合わせ対応(3カ月間) 標準

対象プラットフォーム

  • Android
  • iOS

※ 診断対象アプリケーションがサポートするOSバージョンを任意に1つ選択して実施

診断場所

  • リモート
  • オンサイト(オプション)

定型の診断以外にもカスタマイズとして承ることができます。過去には、以下のような取り組みを実施しました。

  • 独自実装したroot化/jailbreak検知機能のチェック
  • アプリを起点としたペネトレーションテスト
  • アプリの設計評価
  • アプリ作成ガイドライン策定の支援

大規模な不具合を未然に防ぎビジネス価値創出へ

スマートフォンアプリケーション診断を実施することで、アプリによる不具合を見つけ、再現できます。自信を持ってリリースしたはずのアプリが思わぬ不具合を出すといったリスクを実機診断など交えて回避し、想定通りのビジネス価値を生み出せるのです。

1. サーバとの通信における脅威

診断項目 確認内容
HTTP通信による重要情報送信 平文による重要情報の送信状況
危殆化した暗号化方式の利用 暗号化方式の強度
サーバ証明書の不備 サーバ証明書の運用状況

2. アプリケーション解析における脅威

診断項目 確認内容
ソースコード内の重要情報の記述 ソースコードから重要情報の漏えいの可能性
マニフェストファイルの設定 マニフェストファイルの設定内容
コンポーネントの公開設定不備 アプリケーション間連携における各コンポーネントの公開設定
ログの出力内容 システムログの出力内容

3. アプリケーション操作上における脅威

診断項目 確認内容
利用規約およびプライバシーポリシー 利用規約およびプライバシーポリシーの記載内容
ログイン/ログアウト機能の実装 ログイン機能およびログアウト機能の実装方法
重要情報の取り扱い パスワードやクレジットカード情報の取り扱い状況
入力値の妥当性 ユーザからの入力内容の妥当性検証状況

最近は特に、決済、IoTや産業などさまざまな分野で新たにスマホアプリが使われるようになっています。安易な採用にならないように、スマホアプリの安全性を担保するための診断を実施する必要があります。米国など海外でも、企業が提供するアプリが危険な状態になっており、それを放置する例が増えているといわれています。いま、スマートフォンアプリケーション診断は必須といえるサービスです。アプリのリリース前が理想ですが、リリース後でも十分効果が期待できます。

サービスご提供の流れ

STEP1​
事前準備
5営業日程度
①ヒアリング​
 打ち合わせを実施し、見積もりに必要な情報を収集
②見積もり​
 ヒアリング結果をもとに弊社側で見積もりを作成
③受発注処理、問診票の記入
 事前調査開始までに、受発注処理と並行して診断対象やアカウントなどの情報を記入する問診票を提出していただく​
STEP2​
診断作業​
10営業日程度
④事前調査​
 アプリケーションを実際に操作し、機能や送信先ドメインなどを調査​
⑤診断​
 問診票や事前調査の結果をもとに診断を実施(開始・終了時はメールでご連絡)
⑥緊急速報​
 Highリスクの脆弱性が検出された場合は検出後1営業日以内に提出
STEP3​
結果報告​
10営業日程度
⑦診断結果速報(オプション)​
 診断で検出された問題点の要約を3営業日程度で提出
⑧診断結果報告書​
 具体的な再現方法なども記載した報告書を10営業日程度で提出​
⑨診断結果報告会​
 お客様先に伺い、診断結果を報告書ベースで報告(質疑応答も対応)
STEP4​
お問い合わせ​
3カ月間​
⑩お問い合わせ​
 診断結果報告書納品後3カ月間、診断結果などに対するお問い合わせに対応

※ Highリスク:攻撃者の積極的なアプローチによって情報漏えいやアプリケーションの不正利用などの実害に結びつく可能性のある問題であり、早急に対策が必要

価格

Andorid、iOSともに、1つのOSで120万円から。

参考記事 ー オウンド・メディア「LAC WATCH」より

お問い合わせ

スマートフォンアプリケーション診断に関するお問い合わせ

いま注目されているサービス

  • teamviewer_top.png

    世界で一番支持されているリモート接続ツール「TeamViewer」が、業務効率と顧客満足度アップを実現します

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top