セキュリティ診断
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断は、スマートフォンアプリケーション(AndroidおよびiOS)にセキュリティ上の問題がないか、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)やOWASP(Open Web Application Security Project) Mobileプロジェクトから必要な項目を抽出するといった手法によるラック独自の基準で診断します。
スマホアプリのリスクをあぶり出す最多水準の診断項目
業界最多水準の診断項目数で検出した問題点について、リスク、対策方法、再現手順を明記した上で、レポートします。例えば、スマートフォンアプリケーション診断、診断結果速報(Highリスク)、診断結果報告書、お問い合わせ対応(3カ月間)は標準でサービス提供し、診断結果速報(Mediumリスク、Lowリスク)、診断結果報告会、再診断はそれぞれオプションで提供します。
サービス項目
| 項目 | 標準/オプション |
|---|---|
| スマートフォンアプリケーション診断 | 標準 |
| 診断結果速報(Highリスク) | 標準 |
| 診断結果速報(Mediumリスク、Lowリスク) | オプション |
| 診断結果報告書 | 標準 |
| 診断結果報告会 | オプション |
| 再診断 | オプション |
| お問い合わせ対応(3カ月間) | 標準 |
対象プラットフォーム
- Android
- iOS
※ 診断対象アプリケーションがサポートするOSバージョンを任意に1つ選択して実施
診断場所
- リモート
- オンサイト(オプション)
定型の診断以外にもカスタマイズとして承ることができます。過去には、以下のような取り組みを実施しました。
- 独自実装したroot化/jailbreak検知機能のチェック
- アプリを起点としたペネトレーションテスト
- アプリの設計評価
- アプリ作成ガイドライン策定の支援
大規模な不具合を未然に防ぎビジネス価値創出へ
スマートフォンアプリケーション診断を実施することで、アプリによる不具合を見つけ、再現できます。自信を持ってリリースしたはずのアプリが思わぬ不具合を出すといったリスクを実機診断など交えて回避し、想定通りのビジネス価値を生み出せるのです。
1. サーバとの通信における脅威
| 診断項目 | 確認内容 |
|---|---|
| HTTP通信による重要情報送信 | 平文による重要情報の送信状況 |
| 危殆化した暗号化方式の利用 | 暗号化方式の強度 |
| サーバ証明書の不備 | サーバ証明書の運用状況 |
2. アプリケーション解析における脅威
| 診断項目 | 確認内容 |
|---|---|
| ソースコード内の重要情報の記述 | ソースコードから重要情報の漏えいの可能性 |
| マニフェストファイルの設定 | マニフェストファイルの設定内容 |
| コンポーネントの公開設定不備 | アプリケーション間連携における各コンポーネントの公開設定 |
| ログの出力内容 | システムログの出力内容 |
3. アプリケーション操作上における脅威
| 診断項目 | 確認内容 |
|---|---|
| 利用規約およびプライバシーポリシー | 利用規約およびプライバシーポリシーの記載内容 |
| ログイン/ログアウト機能の実装 | ログイン機能およびログアウト機能の実装方法 |
| 重要情報の取り扱い | パスワードやクレジットカード情報の取り扱い状況 |
| 入力値の妥当性 | ユーザからの入力内容の妥当性検証状況 |
最近は特に、決済、IoTや産業などさまざまな分野で新たにスマホアプリが使われるようになっています。安易な採用にならないように、スマホアプリの安全性を担保するための診断を実施する必要があります。米国など海外でも、企業が提供するアプリが危険な状態になっており、それを放置する例が増えているといわれています。いま、スマートフォンアプリケーション診断は必須といえるサービスです。アプリのリリース前が理想ですが、リリース後でも十分効果が期待できます。
サービスご提供の流れ
| STEP1 事前準備 5営業日程度 |
①ヒアリング 打ち合わせを実施し、見積もりに必要な情報を収集 ②見積もり ヒアリング結果をもとに弊社側で見積もりを作成 ③受発注処理、問診票の記入 事前調査開始までに、受発注処理と並行して診断対象やアカウントなどの情報を記入する問診票を提出していただく |
|---|---|
| STEP2 診断作業 10営業日程度 |
④事前調査 アプリケーションを実際に操作し、機能や送信先ドメインなどを調査 ⑤診断 問診票や事前調査の結果をもとに診断を実施(開始・終了時はメールでご連絡) ⑥緊急速報 Highリスクの脆弱性が検出された場合は検出後1営業日以内に提出 |
| STEP3 結果報告 10営業日程度 |
⑦診断結果速報(オプション) 診断で検出された問題点の要約を3営業日程度で提出 ⑧診断結果報告書 具体的な再現方法なども記載した報告書を10営業日程度で提出 ⑨診断結果報告会 お客様先に伺い、診断結果を報告書ベースで報告(質疑応答も対応) |
| STEP4 お問い合わせ 3カ月間 |
⑩お問い合わせ 診断結果報告書納品後3カ月間、診断結果などに対するお問い合わせに対応 |
※ Highリスク:攻撃者の積極的なアプローチによって情報漏えいやアプリケーションの不正利用などの実害に結びつく可能性のある問題であり、早急に対策が必要
価格
Andorid、iOSともに、1つのOSで120万円から。
参考記事 ー オウンド・メディア「LAC WATCH」より
いま注目されているサービス
世界で一番支持されているリモート接続ツール「TeamViewer」が、業務効率と顧客満足度アップを実現します
全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現
サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート
