秘密保持契約の締結(必要な場合)
診断対象情報のご提供いただき、いただいた情報をもとにお見積りをいたします。
ご発注ののち、基本契約の締結
Copyright ©2024 Sanwa Comtec KK. All rights reserved.
スマホアプリ脆弱性診断
近年、スマートフォンやタブレットなどのモバイル端末が広く普及し、スマホアプリ(モバイルアプリ)を使用したビジネスも年々増加しています。
スマホアプリをビジネスの一部として使用する上で、開発したスマホアプリに脆弱性が含まれていたり、構造の欠陥が含まれていた場合、セキュリティインシデントにつながる可能性があります。セキュリティインシデントの発生によるユーザの信頼低下やビジネスへ影響を未然に防ぐために、スマホアプリのセキュリティをチェックすることが重要になってきています。
SCT SECUREスマホアプリ診断は、iOSやAndroidのスマホアプリの脆弱性を発見するサービスです。
ツール診断だけでなく診断員による手動診断にも対応しております。
第三者によるセキュリティチェックとなりますので、お客様への納品前チェックとしてもご利用いただけます。
ワンタイムだけでなく、サブスクリプションでのご提供もしており、お客様の目的に合わせてプランをお選びいただけます。
静的/動的/API/手動の4つのアプローチによる診断
ツールによる静的診断・動的診断*1にくわえ、
専門の診断員によるAPI診断・手動診断にも対応
静的/動的/API/手動の4つのアプローチによる診断
テストケースは100以上
アプリに使用されているライブラリ/フレームワークを可視化
ソフトウェアコンポーネントの潜在的リスクを把握
モバイルアプリのセキュリティ上の脅威として広く知られた OWASP Mobile Top10 をカバーした診断
クレジットカード業界のセキュリティ基準となっているPCI DSS にも対応
報告書の納品後、 1か月以内は無償 で再診断が可能
診断結果に対するお問合せについても対応、診断後もセキュリティの向上をサポート
ワンタイムの診断プランに加えサブスクリプションプランも提供
好きなタイミングで何度でも*3ツールによる診断が可能
*1 診断対象アプリの機能によってはツール診断プランのご提供をできない場合がございます。別途手動診断のみでのご提供も可能でございますのでお気軽にお問合せください。
*2 SBOM機能はサブスクリプションプランに付属します。SBOM機能単体でのご提供も可能です。
*3 サブスクリプションプランの場合に限ります。
バイナリファイルの分析による基本的な構成の問題を指摘
アプリをリアルタイムで実行し通信の内容を分析
アプリが通信を行うAPIの情報を取集し分析
専門の診断員がアプリを分析し、個々の潜在的な脅威を特定
*静的診断および動的診断はツール診断サービスでのご提供、API診断および手動診断は手動診断オプションでのご提供となります。
秘密保持契約の締結(必要な場合)
診断対象情報のご提供いただき、いただいた情報をもとにお見積りをいたします。
ご発注ののち、基本契約の締結
診断内容の確認や診断日程の調整など診断を進めるうえでの調整をメールベースで実施いたします。
診断対象アプリについてこの段階でご提供いただきます。
ワンタイムプランの場合:
ご提供いただいたアプリおよび関連の機器に対する診断を実施いたします。
診断期間の目安は次の通りとなります。
ツール診断: 3 ~ 4営業日程度
手動診断 : 7 ~ 8営業日程度
サブスクリプションプランの場合:
診断実施ポータルの提供およびポータルへの認証情報を提供いたします。
ポータルより任意のタイミングにて診断が実施可能です。
ワンタイムプランの場合:
ご提供いただいたアプリに対する診断結果をPDF形式のレポートにてご提供いたします。
サブスクリプションプランの場合:
ポータルより診断結果レポートをダウンロードいただけます。
診断結果のレポートをもとに診断員による診断結果の報告および診断結果に対する質疑応答を実施いたします。
モバイルアプリケーションのセキュリティテストは、アプリケーションの脆弱性を特定し、悪意のあるハッカーが悪用する前にそれらを軽減するプロセスです。
これを実行する必要がある理由は次のとおりです。
ツール診断および一部の手動診断については診断対象の数量は診断対象とするモバイルアプリの数を最小単位とします。例えば、診断対象とするモバイルアプリにiOS版とAndorid版が存在する場合それぞれのアプリを1つとしてカウントします。アプリケーション単位での計算となりますのでアプリの機能数や遷移数でのカウントはおこないません。
診断対象のアプリの改修頻度がプラン選択の一定の目安となります。
診断対象のアプリを高頻度で改修(年3回以上)を行う場合は、ツール診断を回数無制限でご利用いただける
サブスクリプションプランをおすすめしております。
また、アプリのリリース前などの詳細なチェックを目的とされる場合は、ワンタイムプランをおすすめしております。
以下に該当するアプリはツール診断の対象範囲外となります。
ツールのみによる比較的簡易的な診断の実施と比べて、手動による診断を加えたより深度の深い診断を実施されているお客様が多いことが伺えます。
検証環境での診断が過半数を占めており、リリース前のチェックや開発段階で実施いただいていることが伺えます。
それぞれお客様毎の目的に応じて診断を実施されていることが伺えます。脆弱性の調査から PCIDSSの準拠まで、幅広いニーズに対応した診断を提供しています。
セキュリティに関するお問い合わせはこちら