スマートフォンアプリケーション診断

スマートフォンアプリケーションの脆弱性を調査し、対策を取る

サービス概要

スマートフォンアプリケーション診断は、お客様が開発したスマートフォンアプリケーションに潜んでいる脆弱性の洗い出しと問題点に対する対策を提供するサービスです。

サービスの特長

ソーシャル系アプリケーションなど、様々なアプリケーションに対しての診断経験を持つ専門家が最新の攻撃手法を反映した独自ツールを駆使して、お客様のスマートフォンアプリケーションを診断します。

対象となるアプリケーション

  • スマートフォン端末にインストールされるアプリケーション
  • 上記アプリケーションがアクセスするWebサーバ側のアプリケーション

スマートフォン端末にインストールされるアプリケーション

対象となる企業および法人様

  • BtoB、BtoC向けのスマートフォン向けアプリケーションを展開する法人様

診断実施により明確になる各項目例

スマートフォン端末にインストールされるアプリケーション

  • 重要情報が漏えいしている可能性はないか
  • バイナリデータを改ざんすることで不正に利用することが可能か
  • 利用者に要求するパーミッションが必要最低限であるか

上記アプリケーションがアクセスするWebサーバ側のアプリケーション

  • 重要情報が適切な暗号化方式で通信されているか
  • データベースへ不正にアクセスすることが可能か
  • 一般ユーザが権限を昇格することが可能か

Web側のアプリケーションに対する診断は、「ウェブアプリケーションセキュリティ診断」と同様の診断内容となります。

スマートフォンセキュリティ診断における診断項目

診断項目
API側の不備クロスサイトスクリプティング(XSS)
SQLインジェクション
各種インジェクション
(XXE/OSコマンド/ディレクトリトラバーサル/HTTPヘッダなど)
エラーメッセージ・コメントの出力
不適切な暗号の利用
認証処理の不備
不正アクセスへの対策状況
アクセスコントロールの不備
ビジネスロジックの不備
端末側の不備パーミッションの不備
SDカード等の外部への情報保存の不備
ログ出力処理の不備
アプリ領域への機微情報の取扱
デバッグモード設定の確認
逆コンパイル耐性など

上記の記載内容が、当社診断実施内容のすべてではございません。

スマートフォンアプリケーション診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

018-0011-20

情報セキュリティサービスマークについて

導入フロー

  • 事前打ち合わせ
    • 試験対象範囲の設定
    • 実施日の決定
    • 関連部署との調整周知
  • 診断実施
    • 診断実施
    • 診断開始、終了時には弊社より適宜連絡を行います。
  • 報告書作成
    • 報告書作成
    • 分析作業開始
    • 脆弱性リスク分析
    • 推奨策の調査および記述
  • 報告会実施
    • 関係者を集めた報告会の開催

サービス申込み時に機密保持契約を締結します。

報告書提出から2週間、Q&A対応期間を設けています。

サンプル

スマートフォンアプリケーション診断結果報告書

導入価格

スマホアプリ動的画面数(※1)とWebアプリケーションの動的ページ数により異なります。
スマートフォンアプリケーション診断は端末環境とWebアプリケーション環境の両方の診断が含まれます。
但し、端末環境の診断が必要ない場合にも価格は同額となります。

(※1) 動的画面数とはWebアプリケーション環境へ通信した場合に生成される画面です。