スマートフォンアプリケーション診断サービス

電子商取引などへのスマートフォンアプリケーション診断サービス

サービスインや新機能のリリースを重要視し、開発スピードを求められるスマートフォンアプリケーションは、開発期間の短期化や適切なセキュリティ機能の未使用により、さまざまなセキュリティ事故が発生しています。

スマートフォンアプリケーション診断サービスは、管理者が制御することが難しい個々の端末上の個人情報や機密情報に対して適切な管理措置を講じるために必要な対策方針を提案し、改修のアドバイスを行うサービスです。

セキュリティ事故に繋がる主な原因と影響

スマートフォンアプリケーションに脆弱性が存在した場合、個人情報の流出や機密情報の漏えいなどセキュリティ事故を誘発させるおそれがあるだけではなく、企業の社会的信用や企業イメージに影響を与えます。

スマートフォンアプリケーションが直面するリスク

サーバーとは異なるリスクをもつため、スマートフォンアプリケーションならではの対策が必要です。

セキュリティ事故に繋がる例イメージ

日本スマートフォンセキュリティ協会『Androidアプリのセキュア設計・セキュアコーディングガイド』
【2018年9月1日版】を参考に、NTTデータ先端技術株式会社にて作成

※Android ロボットは、Google が作成および提供している作品から複製または変更したものであり、クリエイティブ・コモンズ表示 3.0 ライセンスに記載された条件に従って使用しています。

スマートフォンアプリケーション診断が対応する脅威と脆弱性例

スマートフォンアプリケーションは、個人情報などの機密情報が漏えいするさまざまな要因や弱点を抱えています。

脅威例

  • 中間者攻撃により通信が盗聴・改ざんされる
  • 脆弱な暗号化により重要情報が漏えいする
  • 開発用バックドア・デバッグ機能を悪用される
  • パスワードロックなどの認証機能を迂回される

脆弱性例

  • SSL・TLSサーバー証明書の検証不備
  • 機密データの不十分な暗号化
  • 開発用デバッグ機能が有効
  • 認証機能を迂回可能

スマートフォンアプリケーション診断で情報漏えいの危険性を洗い出します

スマートフォンアプリケーション診断サービスの特長

スマートフォンアプリケーション診断

  • OWASP(Open Web Application Security Project) Mobile Top10およびOWASP Mobile Testing Guideから抽出した当社独自の検査項目に従い、問題点を検査します。
  • 静的解析および動的解析を行い、精度の高い検査を行います。
  • 検査結果をもとに、正確・的確に問題点を報告します。

報告会

  • 脆弱性ごとに攻撃を受ける前提条件や攻撃手口を例示し、被害を受けた場合の危険度を判断します。
  • 対策方針を提案し、改修のアドバイスを行います。

スマートフォンアプリケーション診断によるメリット

  • 個人情報漏えいおよびそれに伴う損害賠償等のリスクを軽減することができます。
  • 問題点に対する影響範囲や危険度が明らかになることで、優先順位をつけて効果的な改修を行うことができます。
  • 的確な改修方針により、改修にかかる期間や費用を必要最小限にすることができます。

スマートフォンアプリケーション診断サービスの流れ

スマートフォン
アプリケーション
の把握
診断作業 問題点の解析 報告会
診断対象アプリケーションに関するヒアリングを実施します。 ツールの利用、静的解析および動的解析により、診断します。 発見された脆弱性について内容を整理し、具体的な問題点を指摘します。 報告書の内容をお客さまにご説明いたします。ご質問にもお答えします。
SSSマーク

※本サービスは特定非営利活動法人 日本セキュリティ監査協会(JASA)が審査登録を行う「情報セキュリティサービス基準審査登録制度」登録サービスです。