スマホアプリ診断
サービス内容
スマホアプリのセキュリティ上の問題の有無を調査し堅牢性を評価。動的解析、静的解析、API診断による総合的な評価が可能
iOSまたはAndroid向けに開発されたスマホアプリにセキュリティ上の問題がないかを技術者が診断します。スマホアプリを実際に動作させその動作から問題点の有無を確認する動的解析と、スマホアプリのソースコード等を技術者が確認することによる静的解析により調査を行います。
スマホアプリからインターネット経由で連携しているWebサーバにAPIアクセスを行っている場合、APIの脆弱性診断についてもあわせて実施することが可能です。(APIの診断はWebアプリケーション診断でのお見積りとなります。)
サービスの特長
独自の診断項目により網羅的なリスクの洗い出しが可能。技術者によるソースコード解析(静的解析)も実施
「OWASP Mobile Top 10」や「OWASP Mobile Application Security Verification Standard (MASVS)」の他、セキュア開発ガイドライン等に基づいて作成した当社独自の診断項目によりスマホアプリのセキュリティリスクを洗い出します。
診断項目
| データの保存に関する項目 | |
|---|---|
| 診断内容の概要 | 認証情報をはじめとする機密データが、不用意に保存されたり表示されたりしていないか診断します。 |
| データの暗号化に関する項目 | |
| 診断内容の概要 | 暗号化キーの保持方法や暗号化の方式について等、暗号化に関連する処理や設定が適切に行われているか診断します。 |
| 認証とセッション管理に関する項目 | |
| 診断内容の概要 | アプリ使用時の認証や状態の管理について、認証処理の迂回や状態の乗っ取りの攻撃への対策が適切に行われているか診断します。 |
| ネットワーク通信経路の保護に関する項目 | |
| 診断内容の概要 | アプリと、APIサーバ等のリモート環境との通信において、通信経路の安全性が確保されているかどうか診断します。 |
| OS機能の利用に関する項目 | |
| 診断内容の概要 | アプリが動作するOSの環境内において、外部アプリとの連携に関する機能ややアプリへの入出力に関する機能が安全に使用されているかどうか診断します。端末のデバイス(カメラ・マイク等)の使用権限についても診断します。 |
| アプリケーションのビルドと公開に関する項目 | |
| 診断内容の概要 | アプリの公開に際し、開発時にのみ必要なデバッグ情報の削除が行われているか、公開用の鍵を使った署名が行われているかなど、公開時に必要な措置が実施されているか診断します。 |
| アプリケーションの耐障害性に関する項目 | |
| 診断内容の概要 | アプリ自体の改ざんや、アプリの使用するデータの改ざんに対し、対策がとられているか否かを診断します。 |
