ユースケース(モバイルアプリ脆弱性診断サービス)
当社で提供するモバイルアプリ向け脆弱性診断サービスの具体例の一部です。
様々なモバイルアプリのタイプやデバイスなどに分けて考え実施します。
当社で提供するモバイルアプリ向け脆弱性診断サービスの具体例の一部です。
様々なモバイルアプリのタイプやデバイスなどに分けて考え実施します。
モバイルアプリはサーバサイドのリスクだけでなくクライアントサイドにもリスクが存在します。攻撃者はAPK/IPAファイル(実行プログラム)の入手が可能でアプリの改ざん、DoS攻撃、不正行為、機密情報の流出などをもたらすリスクが考えられます。
モバイルアプリが提供する機能や取り扱うリスク資産によって脆弱性診断に加え、アプリケーション保護の導入が必要なケースが考えられます。
| ケース | 診断や対策例 |
|---|---|
| サーバサイド |
プラットフォームはツール診断とし、WebAPIは、OWASP Web Testing Guideに準じた手動診断。 WebAPI固有の診断要素もありますがOWASP Web Testing Guideには、 サーバサイドの多くの診断項目も含んでおり非常に網羅性があります。 |
| クライアントサイド | モバイルアプリはツールもしくは手動での脆弱性診断 |
| ハッキングに対する防御 | アプリに課金機能がある場合は改ざん防止やハッキング防止のアプリケーション保護の導入 |
金融や医療などのモバイルアプリは非常にセンティシブな情報を取り扱うため、より強固なセキュリティが求められます。攻撃者も強い目的を持って攻撃をするためクライアントサイドにはリバースエンジニアリングによるリスクが考えられます。
一般のモバイルアプリより強硬なセキュリティが求められ脆弱性診断に加えリバースエンジニアリングに対する、耐タンパー性の検査やアプリケーション保護の導入が必要なケースが考えられます。
| ケース | 診断や対策例 |
|---|---|
| サーバサイド |
プラットフォームはツール診断としWebAPIは、OWASP Web Testing Guideに準じた手動診断。 WebAPI固有の診断要素もありますがOWASP Web Testing Guideには、 サーバサイドの多くの診断項目も含んでおり非常に網羅性があります。 |
| クライアントとサーバサイド | モバイルアプリは、手動での脆弱性診断と耐タンパー性の検査 |
| ハッキングに対する防御 | 改ざん防止やハッキング防止のアプリケーション保護の導入 |
攻撃者はIoTデバイス、モバイルアプリ、サーバサイドの脆弱性を突いて不正行為、不正侵入、機密情報の流出をもらたす可能性があります。IoTデバイスにはリバースエンジニアリングなどによりバックドアが仕込まれるリスクも考えられます。
IoT機器やサービスでは取り扱うリスク資産の状況に応じた診断と対策が必要になると考えます。特にIoTデバイスの対策は重要な箇所になると考えます。
| ケース | 診断や対策例 |
|---|---|
| サーバサイド |
プラットフォームはツール診断としWebAPIは、OWASP Web Testing Guideに準じた手動診断。 WebAPI固有の診断要素もありますが、OWASP Web Testing Guideには、 サーバサイドの多くの診断項目も含んでおり、非常に網羅性があります。 |
| クライアントサイド | モバイルアプリはツールもしくは手動での脆弱性診断 |
| ハッキングに対する防御 | アプリに課金機能がある場合は改ざん防止やハッキング防止のアプリケーション保護の導入 |
| IoTデバイス |
手動によるプラットフォーム診断に加え、組込みシステムのバックドア分析 (高いビジネスリスクが伴うシステムの場合) |
AppCheckerは、手間がかからないツール診断でありながら、より安全なモバイルアプリの実現のために2つのタイプの分析を行います。自動化分析ツールによって静的解析と基本的な動的分析を行った後、専門家による手動分析を行います。模擬ハッキングの手法に基づく実用的な分析や、OWASP Mobile Top 10と金融レベルのセキュリティ基準を中心にした分析により、本当に危険な要素は何かを把握できます。しかも分析レポートはすばやく、最短5営業日でご提供いたします。
ハッキングコンテストで優秀な成績を持つ企業との協業によりモバイルアプリに対する高い技術力をベースにしたワールドクラスの脆弱性手動診断を提供します。国内外での豊富な実績と金融向けアプリを想定した診断作業における高い信頼性が評価をいただいています。また、わかりやすく、実用性の高いレポートと、診断結果に対する対応ガイドだけではなく、指摘した脆弱性が正しく直っているかまで再度診断でフォローします。