スマートフォンアプリ診断
Smartphone Apps Assessment
スマートフォンアプリおよび、サーバにおけるセキュリティ上の問題点を診断
企業では、業務用スマートフォンの導入が進む一方で、セキュリティ対策が不十分なアプリケーションが問題となっています。
たとえば、アプリケーション自体にマルウェアが仕込まれているケースや、不適切なセキュリティ設定によるスマートフォンの乗っ取り、そして機密情報の抜き取りが後を絶ちません。
そのため、問題を未然に防ぐためには適切な対策を講じることが不可欠です。
ベルウクリエイティブのスマートフォンアプリ診断では、まずスマホアプリを実際に操作し、生成されたファイルや通信に対して詳細な診断を実施します。
また、送出される通信や設定ファイルの分析、他のアプリケーションからの情報アクセス可否の調査なども行い、アプリケーションの安全性を徹底的に検証します。
特長
スマートフォン端末内で動作するアプリケーションを実際に操作することで、生成されたファイルや通信などに対して診断を実施します。
診断手段として、送出される通信や設定ファイルを分析・調査、他のアプリケーションからの情報へアクセス可否の調査などを行います。
- JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施
- リバースエンジニアリングによるアプリの挙動解析
- 診断後のセキュリティ強度評価や該当するリスク対策についてもレポート
診断項目
スマートフォンアプリケーション(クライアントサイド)
データ保護状況のチェック
アプリケーションが保存するデータの保存場所、アクセス権、保存方法などが適切であるかを診断します。
通信の保護状況のチェック
重要情報が適切な暗号化方式で暗号化されて送信されているか、通信するサーバの正当性の検証方式が適切であるかなどを診断します。
解析抑止状況のチェック
適切な難読化処理が行われているか、ソースコード内に漏洩することで悪用される可能性のある情報が保存されていないかなどを診断します。
プライバシーの保護状況のチェック
アプリケーションが収集する情報に関して、アプリケーションの利用者に許諾を求めているかなどを診断します。
連携機能のチェック
アプリケーションの機能を他のアプリケーションに利用させる場合などの連携方式が適切であるかを診断します。
不正利用防止状況のチェック
アプリケーションの利用者の認証方式やアプリケーションの正規の購入者であることの確認方法などが適切であるかを診断します。
利用機能の許諾確認状況のチェック
アプリケーションが要求するパーミッションが必要最低限であるか、要求する機能のパーミッションに関する説明を適切に記載しているかなどを診断します。
診断ステップ
サービスフロー
サービスフロー
オプション
- 再診断
- 報告会の実施
- スマートアプリケーションソースコードレビュー
- スマートフォンアプリケーション端末診断
特定のフレームワークに特化したパフォーマンス測定など、別途ご要望がございましたら、ご相談ください。
