モバイルアプリケーションの脆弱性診断(セキュリティ診断)を行います。
こんな方にオススメ!
自社モバイルアプリが脆弱性攻撃に遭ってしまった
どのように脆弱性を対策すればいいかわからない
診断内容
モバイルアプリケーションのパッケージファイル(.apk/ .ipa)を対象に診断を行います。
診断項目
静的解析ツールや動的解析ツールおよびモバイル端末で以下の確認を行います。
- 機微な情報の保存方法
- パーミッション設定
- 外部連携サービスとの通信方法
- プロセス間通信の権限(Intent、URLスキーム)
- 機微な情報のハードコーディング
- WebViewの設定
- ログ出力
高度なセキュリティが要求されるアプリケーション向けには追加で以下の検証を行います。
- root化端末やエミュレータによる端末内部ファイル、メモリの確認
- 動的解析ツールによるメモリ改ざんへの耐性検証
- 重要ファイルの暗号化
※確認内容は一例です
SANS Institute主催の研修を修了したセキュリティエンジニアが診断いたします。
また、当社ではCISSP※保有者が監督し、診断完了後詳細なレポートを掲示します。
- ※ CISSP:
ISC2が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格
診断基準
Webセキュリティの研究を行っている非営利組織OWASPが発行しているOWASP MASVS※に準拠
- ※ Mobile Application Security Verification Standard:
モバイルアプリケーションセキュリティ検証標準
診断結果報告
- 診断完了後5営業日を目安に診断結果を報告
- 検出した脆弱性の影響度をCVSS※に基づき定量的に表し、影響範囲と推奨事項を提示
- ※ Common Vulnerability Scoring System:
脆弱性に対するオープンな評価手法
「攻撃の難易度」×「攻撃による影響」の2軸で評価し、深刻度の指標は0~10の数値で表す
Before
脆弱性攻撃への対策ができていない
脆弱性の診断方法が分かない
