スマホアプリ診断(iOS/Android)
お客様のニーズに合わせて適切な対策をご提案いたします。
- トップ
- プロダクト
- SCT SECURE
- スマホアプリ診断
スマホアプリ診断 SCT SECURE
5つのアプローチと100以上のテストケースでスマホアプリのセキュリティリスクを徹底診断
モバイル端末の普及により、スマホアプリを利用したビジネスが急増していますが、アプリの脆弱性や構造上の欠陥は、セキュリティインシデントや信頼低下の原因となる可能性があります。こうしたリスクを未然に防ぐため、スマホアプリのセキュリティチェックは欠かせません。
SCT SECUREスマホアプリ診断は、iOSとAndroidのアプリに対応し、ツール診断と専門家による手動診断を組み合わせたサービスです。ワンタイムまたはサブスクリプション形式の利用が可能で、納品前の第三者チェックとしても最適です。さらにSBOM(ソフトウェア部品表)を活用することで、アプリに含まれるソフトウェアコンポーネントの可視化・管理が可能となり、脆弱性の早期発見を支援します。
スマホアプリ診断 SCT SECUREはこんな方にオススメ
- アプリ開発時の
セキュリティ対策状況を確認したい方 - 開発委託アプリの
納品時チェックをしたい方 - 既存アプリの
セキュリティ強度を確認したい方
スマホアプリ診断 SCT SECUREで解決できること
セキュリティリスクの最小化
スマホアプリに潜む脆弱性を静的・動的・手動・API・SBOM診断で検出し、適切な対応策を提供します。脆弱性の早期改善を行う事でセキュリティインシデントリスクを低減させます。
安全なアプリの開発
OWASP Mobile Top 10やPCI DSSといった主要なセキュリティ基準に基づく診断を行います。
これらの基準に準拠することで、スマホアプリのセキュリティを強め、高い安全性を保つことができます。
ユーザー情報の安全確保
決済機能を持つスマホアプリからの個人情報漏洩リスクを低減し、スマホアプリのデータセキュリティを強化します。
多様な診断アプローチ
静的・動的・API・手動・SBOMの5つのアプローチによる診断が可能です。ツールを用いた静的および動的診断に加え、専門の診断員によるAPI診断と手動診断に対応しています。また、100以上のテストケースを使用して、アプリの脆弱性を総合的に評価し、潜在的なリスクを迅速に特定することが可能です。
SBOMによるソフトウェア管理
SBOM(Software Bill of Materials)を活用したソフトウェア管理では、スマホアプリに使用されているライブラリやフレームワークを可視化し、それぞれのソフトウェアコンポーネントの潜在的リスクを把握します。このプロセスにより、脆弱性が含まれている部分を迅速に特定し、必要な対策を講じることが可能になります。
主要なセキュリティ基準に準拠した診断
スマホアプリに対する脅威として知られるOWASP Mobile Top 10をカバーし、幅広いリスクを評価します。また、クレジットカード業界のセキュリティ基準であるPCI DSSにも対応しており、これにより、業界のベストプラクティスに基づいた安全性を確保します。これらの診断を通じて、スマホアプリのセキュリティを強化し、ユーザーの信頼を高めることが可能です。
診断後も充実の対応
報告書納品後1か月以内であれば、無償で再診断を実施します。また、診断結果に関する問い合わせにも対応し、改善のためのサポートを継続します。これにより、スマホアプリのセキュリティを向上させ、リスクの低減を長期的に支援します。
ニーズに合わせたプラン提供
柔軟なプランでお客様のニーズに対応します。単発で利用できるワンタイム診断プランに加え、継続的な診断が可能なサブスクリプションプランもご提供しております。サブスクリプションプランでは、必要なタイミングで何度でもツール診断を活用でき、スマホアプリのセキュリティ維持を支援します。これにより、コスト管理とセキュリティ対策を両立し、安心して長期的にサービスを活用いただけます。
スマホアプリ診断 SCT SECUREの
診断項目(一例)
静的診断
動的診断
手動診断
API診断
- バイナリファイルをクラウド上の診断エンジンで分析
- 全体で100を超えるテスト項目を実施
- 静的診断時に実施されるテスト項目は約50項目
| iOSアプリ用テスト項目の一例 | |
|---|---|
| App Transport Security (ATS) の設定 | Apple からの必須である ATS が有効になっているかどうかを検証 |
| ハードコードされたシークレット | アプリケーション パッケージ内にキーがハードコーディングされているかどうかを検出 |
| Androidアプリ用テスト項目の一例 | |
|---|---|
| アプリケーションデバッグ | AndroidManiest.xmlでデバッグオプションがtrueに有効になっているかどうかを検証 |
| バイトコードの難読化 | アプリケーションが難読化やその他のリバースエンジニアリング防止メカニズムを有効にしているかどうかを検証 |
| StrandHoggの脆弱性 | アプリケーションの 1 つまたは複数の公開アクティビティが StandHogg 脆弱性に対して脆弱かどうかを検証 |
| Androrid タップジャッキング |
タップジャッキングの脆弱性がアプリに存在するかどうかを検証 |
- Web上のエミュレータを使い、アプリ上で画面遷移や処理に際して現れる脆弱性を自動的に検知
- 動的診断時に実施されるテスト項目は約25項目
| iOSアプリ用テスト項目の一例 | |
|---|---|
| 不十分なトランスポート層の保護 | アプリケーションが安全でないHTTP接続で通信しているかどうかを検証 |
| 安全でない生体認証 | 生体認証が指紋バイパスを可能にする安全でないAPIを使用しているかどうかを検証 |
| 安全でないピア接続 | アプリケーションが安全でないピア接続を許可するかどうかを検証 |
| Androidアプリ用テスト項目の一例 | |
|---|---|
| Rootの検出 | アプリケーションがルートデバイスを検出するメカニズムを実装しているかどうかを検証 |
| WebView エクスプロイト | アプリケーションがWebViewを有効にし、弱い入力フィルタリングを行っているかどうかを検証 |
| アプリケーションログ | 本番環境において、アプリケーションが機密情報をログとして漏洩しているかどうかを検証 |
- ツールでは検証することのできないアプリ固有の脆弱性の分析
- ツール診断で検出された項目についての検証
- 手動診断時に実施されるテスト項目は10項目
| 手動診断のテスト項目の一例 | |
|---|---|
| ビジネスロジック | コアビジネスに影響を与える論理的な脆弱性があるかどうかを検証 |
| 不適切なセッション管理 | アプリケーションに、セッションハイジャック、安全でないトークンの生成、リプレイ攻撃、JWT関連の攻撃、予測可能なトークンなどのセッション関連の脆弱性があるかどうかを検証 |
| 機密情報の漏えい | アプリケーションが本番環境で機密情報をログとして漏えいしていないかどうかを検証 |
| 安全でないCookie属性 | CookieにSecure、HttpOnly、SameSite属性が設定されているかどうかを検証 |
| スタックトレースが有効 | サーバーのスタックトレースの構成が間違っているかどうかを検証し、コードスニペットや署名キーを明らかにします |
- アプリが通信を行うAPIサーバーのWebサーバーの脆弱性を分析
- API診断時に実施されるテスト項目は約20項目
| APIに対するテスト項目の一例 | |
|---|---|
| SQLインジェクション | SQLインジェクション攻撃を許可する入力フィルタリングがないかどうかを検証 |
| HTTPボディにおけるクロスサイトスクリプティングの脆弱性 | HTTPリクエストに、保存/反映/DOM/自己XSSを許可する弱いフィルタリングがあるかどうかを検証 |
| Heartbleedの脆弱性 | サーバーがHeartbleedに対して脆弱かどうかを検証 |
| 一般的なサーバーの脆弱性 | サーバーが一般的な構成ミス、CVE、公開ポートなどに対して脆弱かどうかを検証 |
| TLSプロトコルダウングレード攻撃 | SSLに脆弱性があり、HTTPSからHTTPへのダウングレードが可能かどうかを検証 |
スマホアプリ診断の流れ
サービスお申込み
診断対象情報のご提供いただき、いただいた情報をもとにお見積りをいたします。
ご発注ののち、基本契約の締結
診断事前お打ち合わせ
診断対象アプリについてこの段階でご提供いただきます。
診断の実施
ご提供いただいたアプリおよび関連の機器に対する診断を実施いたします。
診断期間の目安は次の通りとなります。
ツール診断: 3 ~ 4営業日程度
手動診断 : 7 ~ 8営業日程度
サブスクリプションプランの場合:
診断実施ポータルの提供およびポータルへの認証情報を提供いたします。
ポータルより任意のタイミングにて診断が実施可能です。
診断結果の提供
ご提供いただいたアプリに対する診断結果をPDF形式のレポートにてご提供いたします。
サブスクリプションプランの場合:
ポータルより診断結果レポートをダウンロードいただけます。
報告会(オプション)
スマホアプリ診断|料金の一例
300万円(年間)
スマホアプリ診断|よくある質問
-
スマホアプリに対するセキュリティ診断はなぜ必要なのですか?
モバイルアプリケーションのセキュリティテストは、アプリケーションの脆弱性を特定し、悪意のあるハッカーが悪用する前にそれらを軽減するプロセスです。
これを実行する必要がある理由は次のとおりです。
- 攻撃者の行動を予測し、アプリの潜在的な弱点や抜け穴を特定して、将来の攻撃を防ぎます。
- アプリを展開する前にセキュリティの弱点を明らかにするため、欠陥があるものを早い段階で変更できるようになります。
- サードパーティのアプリ開発者は、企業のIT環境、セキュリティ ポリシー、コンプライアンスに精通していません。アプリをテストすると、法的コンプライアンスと業界のセキュリティ基準を確実に遵守するためこれらの必須要件がすべて満たされていることを確認できます。
-
診断対象の数量はどのようにカウントされますか?
ツール診断および一部の手動診断については診断対象の数量は診断対象とするモバイルアプリの数を最小単位とします。例えば、診断対象とするモバイルアプリにiOS版とAndorid版が存在する場合それぞれのアプリを1つとしてカウントします。アプリケーション単位での計算となりますのでアプリの機能数や遷移数でのカウントはおこないません。
-
プランを選択する際の目安はありますか?
診断対象のアプリの改修頻度がプラン選択の一定の目安となります。
診断対象のアプリを高頻度で改修(年3回以上)を行う場合は、ツール診断を回数無制限でご利用いただける
サブスクリプションプランをおすすめしております。また、アプリのリリース前などの詳細なチェックを目的とされる場合は、ワンタイムプランをおすすめしております。
-
ツール診断の対象外となるアプリはどのようなアプリですか?
以下に該当するアプリはツール診断の対象範囲外となります。
- 国内回線の使用が必須となるアプリ
- Flutterを用いて作成されたアプリ
セキュリティソリューションで、あらゆるサイバー脅威からビジネスを保護
「情報セキュリティサービス基準適合リスト」登録済
当社が提供するセキュリティ診断(脆弱性診断)サービスは、経済産業省の「情報セキュリティサービス基準適合リスト」に登録されています。情報セキュリティサービスに関する経験豊富なエンジニアがWebサービスやアプリにおけるセキュリティ上の問題点を解消します。
サービス名:脆弱性診断サービス
登録番号:019-0042-20
認証取得・参加団体
セキュリティ無料相談会・お問い合わせフォーム
情報漏えい防止対策なら当社にお任せください。
高度なセキュリティシステムと経験豊富なスタッフが、貴社の機密情報をしっかり守ります。
詳細はお問い合わせください。