スマートフォンアプリケーションおよび、サーバにおけるセキュリティ上の問題点を診断・指摘
企業で業務用スマートフォンの導入が進む一方で、セキュリティ対策が不十分なアプリケーションが問題となっています。アプリケーションそのものにマルウェアが仕込まれていたり、不適切なセキュリティ設定などによるスマートフォンの乗っ取りや、機密情報の抜き取りが後を絶ちません。問題を未然に防ぐためには、適切な対策を講じることが不可欠です。
特徴
本サービスでは、スマートフォン端末内で動作するアプリケーションを実際に操作することで、生成されたファイルや通信などに対して診断を実施します。診断手段として、送出される通信や設定ファイルを分析・調査、他のアプリケーションからの情報へのアクセス可否の調査などを行います。また、本診断サービスは以下のような特徴を持ちます。
- JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施
- リバースエンジニアリングによるアプリの挙動解析
- 診断後のセキュリティ強度評価や該当するリスク対策についてもレポート
メリット
スマホアプリの問題点やリスクを認識することで、インシデント発生時に適切な対応を迅速に行えます。また、脆弱性診断の専門企業へセキュリティ診断を依頼・実施することにより、アプリの付加価値を高めることが出来ます。
診断項目
スマートフォンアプリケーション(クライアントサイド)
データ保護状況のチェック | アプリケーションが保存するデータの保存場所、アクセス権、保存方法などが適切であるかを診断します。 |
---|---|
通信の保護状況のチェック | 重要情報が適切な暗号化方式で暗号化されて送信されているか、通信するサーバの正当性の検証方式が適切であるかなどを診断します。 |
解析抑止状況のチェック | 適切な難読化処理が行われているか、ソースコード内に漏洩することで悪用される可能性のある情報が保存されていないかなどを診断します。 |
プライバシーの保護状況のチェック | アプリケーションが収集する情報に関して、アプリケーションの利用者に許諾を求めているかなどを診断します。 |
連携機能のチェック | アプリケーションの機能を他のアプリケーションに利用させる場合などの連携方式が適切であるかを診断します。 |
不正利用防止状況のチェック | アプリケーションの利用者の認証方式やアプリケーションの正規の購入者であることの確認方法などが適切であるかを診断します。 |
利用機能の許諾確認状況のチェック | アプリケーションが要求するパーミッションが必要最低限であるか、要求する機能のパーミッションに関する説明を適切に記載しているかなどを診断します。 |
解析ステップ
オプション
◆スマートアプリケーション ソースコードレビュー
◆スマートフォンアプリケーション 端末診断