スマホアプリ脆弱性診断

SCT SECURE スマホアプリ(モバイルアプリ)診断サービス

iOS・Androidのスマホアプリ脆弱性診断サービス

スマホアプリ診断の必要性

近年、スマートフォンやタブレットなどのモバイル端末が広く普及し、スマホアプリ(モバイルアプリ)を使用したビジネスも年々増加しています。
スマホアプリをビジネスの一部として使用する上で、開発したスマホアプリに脆弱性が含まれていたり、構造の欠陥が含まれていた場合、セキュリティインシデントにつながる可能性があります。セキュリティインシデントの発生によるユーザの信頼低下やビジネスへ影響を未然に防ぐために、スマホアプリのセキュリティをチェックすることが重要になってきています。

system

サービスの概要

SCT SECUREスマホアプリ診断は、iOSやAndroidのスマホアプリの脆弱性を発見するサービスです。
ツール診断だけでなく診断員による手動診断にも対応しております。
第三者によるセキュリティチェックとなりますので、お客様への納品前チェックとしてもご利用いただけます。
ワンタイムだけでなく、サブスクリプションでのご提供もしており、お客様の目的に合わせてプランをお選びいただけます。

system-data

サービスの特長

01 多様な診断アプローチ

静的/動的/API/手動の4つのアプローチによる診断
ツールによる静的診断・動的診断*1にくわえ、
専門の診断員によるAPI診断・手動診断にも対応
静的/動的/API/手動の4つのアプローチによる診断
テストケースは100以上

02 SBOM*2によるソフトウェア管理

アプリに使用されているライブラリ/フレームワークを可視化
ソフトウェアコンポーネントの潜在的リスクを把握

03 主要なセキュリティ基準に準拠した診断

モバイルアプリのセキュリティ上の脅威として広く知られた OWASP Mobile Top10 をカバーした診断
クレジットカード業界のセキュリティ基準となっているPCI DSS にも対応

04 診断後も充実の対応

報告書の納品後、 1か月以内は無償 で再診断が可能
診断結果に対するお問合せについても対応、診断後もセキュリティの向上をサポート

05 ニーズに合わせたプラン提供

ワンタイムの診断プランに加えサブスクリプションプランも提供
好きなタイミング何度でも*3ツールによる診断が可能

*1 診断対象アプリの機能によってはツール診断プランのご提供をできない場合がございます。別途手動診断のみでのご提供も可能でございますのでお気軽にお問合せください。

*2 SBOM機能はサブスクリプションプランに付属します。SBOM機能単体でのご提供も可能です。

*3 サブスクリプションプランの場合に限ります。

診断項目(一例)

静的診断

バイナリファイルの分析による基本的な構成の問題を指摘

  • ▶ App Transport Security の設定
  • ▶ ハードコードされたシークレット
  • ▶ アプリケーションデバッグ
  • ▶ バイトコードの難読化

動的診断

アプリをリアルタイムで実行し通信の内容を分析

  • ▶ 不十分なトランスポート層の保護
  • ▶ 安全でない生体認証
  • ▶ Root の検出
  • ▶ アプリケーションログ

API診断

アプリが通信を行うAPIの情報を取集し分析

  • ▶ SQLインジェクション
  • ▶ バッファオーバーフロー
  • ▶ 整数オーバーフロー
  • ▶ LDAPインジェクション

手動診断

専門の診断員がアプリを分析し、個々の潜在的な脅威を特定

  • ▶ ビジネスロジック
  • ▶ 不適切なセッション管理

*静的診断および動的診断はツール診断サービスでのご提供、API診断および手動診断は手動診断オプションでのご提供となります。

診断実施の流れ

サービスお申込み

秘密保持契約の締結(必要な場合)
診断対象情報のご提供いただき、いただいた情報をもとにお見積りをいたします。
ご発注ののち、基本契約の締結

arrow-down
診断事前お打ち合わせ

診断内容の確認や診断日程の調整など診断を進めるうえでの調整をメールベースで実施いたします。

診断対象アプリについてこの段階でご提供いただきます。

arrow-down
診断の実施

ワンタイムプランの場合:
ご提供いただいたアプリおよび関連の機器に対する診断を実施いたします。

診断期間の目安は次の通りとなります。

ツール診断: 3 ~ 4営業日程度
手動診断 : 7 ~ 8営業日程度

サブスクリプションプランの場合:
診断実施ポータルの提供およびポータルへの認証情報を提供いたします。

ポータルより任意のタイミングにて診断が実施可能です。

arrow-down
診断結果の提供

ワンタイムプランの場合:
ご提供いただいたアプリに対する診断結果をPDF形式のレポートにてご提供いたします。

サブスクリプションプランの場合:
ポータルより診断結果レポートをダウンロードいただけます。

arrow-down
報告会(オプション)

診断結果のレポートをもとに診断員による診断結果の報告および診断結果に対する質疑応答を実施いたします。

よくあるご質問

  • Q 1. スマホアプリに対するセキュリティ診断はなぜ必要なのですか?

    モバイルアプリケーションのセキュリティテストは、アプリケーションの脆弱性を特定し、悪意のあるハッカーが悪用する前にそれらを軽減するプロセスです。

    これを実行する必要がある理由は次のとおりです。

    • 攻撃者の行動を予測し、アプリの潜在的な弱点や抜け穴を特定して、将来の攻撃を防ぎます。
    • アプリを展開する前にセキュリティの弱点を明らかにするため、欠陥があるものを早い段階で変更できるようになります。
    • サードパーティのアプリ開発者は、企業のIT環境、セキュリティ ポリシー、コンプライアンスに精通していません。アプリをテストすると、法的コンプライアンスと業界のセキュリティ基準を確実に遵守するためこれらの必須要件がすべて満たされていることを確認できます。
  • Q 2. 診断対象の数量はどのようにカウントされますか?
  • Q 3. プランを選択する際の目安はありますか?
  • Q 4. ツール診断の対象外となるアプリはどのようなアプリですか?

グラフでみる SCT SECURE スマホアプリ診断

plan

ツールのみによる比較的簡易的な診断の実施と比べて、手動による診断を加えたより深度の深い診断を実施されているお客様が多いことが伺えます。

environment

検証環境での診断が過半数を占めており、リリース前のチェック開発段階で実施いただいていることが伺えます。

purposes

それぞれお客様毎の目的に応じて診断を実施されていることが伺えます。脆弱性の調査から PCIDSSの準拠まで、幅広いニーズに対応した診断を提供しています。

セキュリティに関するお問い合わせはこちら

PAGETOP