スマートフォンアプリケーション診断

スマートフォンアプリケーションの脆弱性を調査し、対策を取る

サービス概要

スマートフォンの普及が急速に進み、スマートフォンアプリケーションでサービスを展開するお客様が増えています。インフォセックの「スマートフォンアプリケーション診断」では、お客様が開発したスマートフォンアプリケーションに潜んでいる脆弱性の洗い出しと問題点に対する対策を提供するサービスです。

インフォセックがご提供する「スマートフォンアプリケーション脆弱性診断」は、以下のアプリケーションを対象に診断を実施します。

  • スマートフォン端末にインストールされるアプリケーション
  • 上記アプリケーションがアクセスするWebサーバ側のアプリケーション

スマートフォン端末にインストールされるアプリケーション

スマートフォンセキュリティ診断における診断項目(端末環境)

診断項目診断概要
診断項目セッション管理
・認証の問題
認証の処理方法アプリケーションの認証方法について確認し、発行されるセッション情報やログイン、ログアウト、セッションタイムアウト等の処理方法について、なりすまし等が起こりえる状態になっていないか確認。
アプリケーション固有の問題重要情報の管理スマートフォン端末内でのパスワード管理方法について確認。
端末内データベースの管理スマートフォン端末内のデータベースに過度な情報が保存されていないか確認。
端末内コンテンツの管理スマートフォン端末内の保護コンテンツが複合・コピー・配布されないか確認。

上記診断項目は、スマートフォン端末環境向けの診断項目の一部であり、診断項目のすべてを記載するものではございません。

スマートフォンセキュリティ診断の診断項目(Webアプリケーション環境)

診断メニュースマートフォン用
Webサーバ向け
診断環境(オンサイト/リモート)リモート
診断の手法マニュアル診断中心
(ツール補助)
診断項目コマンド実行クロスサイトスクリプティング(XSS)
SQLインジェクション
悪意のあるファイルの実行
情報公開不適切な情報の開示
リソースの位置特定
サーバ設定不備不適切な暗号の利用
エラー処理の不備
セッション管理
・認証の問題
不適切な認証
セッション管理
セッション固定攻撃/なりすまし全般
アプリケーション固有
の問題
クロスサイトリクエストフォージェリ(CSRF)
CSRFを応用した攻撃
アクセスコントロールの不備
アプリケーションロジックの不備
報告会の実施

スマートフォンアプリケーション診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

018-0011-20

情報セキュリティサービスマークについて

特長

インフォセックでは、ソーシャル系アプリケーションなどさまざまなアプリケーションに対しての診断経験を持つ専門家が最新の攻撃手法を反映した独自ツールを駆使して、お客様のスマートフォンアプリケーションを診断します。
診断を実施することにより、以下のようなことが明確になります。

スマートフォン端末にインストールされるアプリケーション

  • 重要情報が漏えいしている可能性はないか
  • バイナリデータを改ざんすることで不正に利用することが可能か
  • 利用者に要求するパーミッションが必要最低限であるか

上記アプリケーションがアクセスするWebサーバ側のアプリケーション

  • 重要情報が適切な暗号化方式で通信されているか
  • データベースへ不正にアクセスすることが可能か
  • 一般ユーザが権限を昇格することが可能か

※Web側のアプリケーションに対する診断は、「ウェブアプリケーションセキュリティ診断」と同様の診断内容となります。

導入価格

スマホアプリ動的画面数(※1)とWebアプリケーションの動的ページ数により異なります。
スマートフォンアプリケーション診断は端末環境とWebアプリケーション環境の両方の診断が含まれます。
但し、端末環境の診断が必要ない場合にも価格は同額となります。

(※1) 動的画面数とはWebアプリケーション環境へ通信した場合に生成される画面です。