モバイルアプリ脆弱性診断
モバイル端末用アプリケーション(Android/iOS)に潜むセキュリティの脆弱性について診断を行います。
診断項目
静的解析ツールや動的解析ツールおよびモバイル端末で以下の確認を行います。
- 機微な情報の保存方法
- パーミッション設定
- 外部連携サービスとの通信方法
- プロセス間通信の権限(Intent、URLスキーム)
- 機微な情報のハードコーディング
- WebViewの設定
- ログ出力
高度なセキュリティが要求されるアプリケーション向けには追加で以下の検証を行います。
- root化/Jailbreak端末やエミュレータによる端末内部ファイル、メモリの確認
- 動的解析ツールによるメモリ改ざんへの耐性検証
- 重要ファイルの暗号化
※確認内容は一例です
SANS Institute主催の研修を修了したセキュリティエンジニアが診断いたします。
診断対象
モバイルアプリケーションのパッケージファイル(.apk/ .ipa)
診断基準
OWASPモバイルアプリケーションセキュリティ検証標準に準拠
診断結果報告
- 診断完了後5営業日を目安に診断結果を報告
- 検出した脆弱性の影響度をCVSS※に基づき定量的に表し、影響範囲と推奨事項を提示
- ※ Common Vulnerability Scoring System:
脆弱性に対するオープンな評価手法
「攻撃の難易度」×「攻撃による影響」の2軸で評価し、深刻度の指標は0~10の数値で表す