一覧

一般的なモバイルアプリ

アタックサーフェス(攻撃対象領域)

テクニカルリスク

モバイルアプリはサーバサイドのリスクだけでなくクライアントサイドにもリスクが存在します。攻撃者はAPK/IPAファイル(実行プログラム)の入手が可能でアプリの改ざん、DoS攻撃、不正行為、機密情報の流出などをもたらすリスクが考えられます。

テストケース

モバイルアプリが提供する機能や取り扱うリスク資産によって脆弱性診断に加え、アプリケーション保護の導入が必要なケースが考えられます。

ケース 診断や対策例
サーバサイド プラットフォームはツール診断とし、WebAPIは、OWASP Web Testing Guideに準じた手動診断。
WebAPI固有の診断要素もありますがOWASP Web Testing Guideには、
サーバサイドの多くの診断項目も含んでおり非常に網羅性があります。
クライアントサイド モバイルアプリはツールもしくは手動での脆弱性診断
ハッキングに対する防御 アプリに課金機能がある場合は改ざん防止やハッキング防止のアプリケーション保護の導入

金融や医療など機密情報を取り扱うモバイルアプリ

アタックサーフェス(攻撃対象領域)

テクニカルリスク

金融や医療などのモバイルアプリは非常にセンティシブな情報を取り扱うため、より強固なセキュリティが求められます。攻撃者も強い目的を持って攻撃をするためクライアントサイドにはリバースエンジニアリングによるリスクが考えられます。

テストケース

一般のモバイルアプリより強硬なセキュリティが求められ脆弱性診断に加えリバースエンジニアリングに対する、耐タンパー性の検査やアプリケーション保護の導入が必要なケースが考えられます。

ケース 診断や対策例
サーバサイド プラットフォームはツール診断としWebAPIは、OWASP Web Testing Guideに準じた手動診断。
WebAPI固有の診断要素もありますがOWASP Web Testing Guideには、
サーバサイドの多くの診断項目も含んでおり非常に網羅性があります。
クライアントとサーバサイド モバイルアプリは、手動での脆弱性診断と耐タンパー性の検査
ハッキングに対する防御 改ざん防止やハッキング防止のアプリケーション保護の導入

IoT機器やサービス

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者はIoTデバイス、モバイルアプリ、サーバサイドの脆弱性を突いて不正行為、不正侵入、機密情報の流出をもらたす可能性があります。IoTデバイスにはリバースエンジニアリングなどによりバックドアが仕込まれるリスクも考えられます。

テストケース

IoT機器やサービスでは取り扱うリスク資産の状況に応じた診断と対策が必要になると考えます。特にIoTデバイスの対策は重要な箇所になると考えます。

ケース 診断や対策例
サーバサイド プラットフォームはツール診断としWebAPIは、OWASP Web Testing Guideに準じた手動診断。
WebAPI固有の診断要素もありますが、OWASP Web Testing Guideには、
サーバサイドの多くの診断項目も含んでおり、非常に網羅性があります。
クライアントサイド モバイルアプリはツールもしくは手動での脆弱性診断
ハッキングに対する防御 アプリに課金機能がある場合は改ざん防止やハッキング防止のアプリケーション保護の導入
IoTデバイス 手動によるプラットフォーム診断に加え、組込みシステムのバックドア分析
(高いビジネスリスクが伴うシステムの場合)

対象サービス

モバイルアプリ向け脆弱性診断サービス

AppChecker

AppCheckerは、手間がかからないツール診断でありながら、より安全なモバイルアプリの実現のために2つのタイプの分析を行います。自動化分析ツールによって静的解析と基本的な動的分析を行った後、専門家による手動分析を行います。模擬ハッキングの手法に基づく実用的な分析や、OWASP Mobile Top 10と金融レベルのセキュリティ基準を中心にした分析により、本当に危険な要素は何かを把握できます。しかも分析レポートはすばやく、最短5営業日でご提供いたします。

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30