モバイルアプリ脆弱性クイック診断 モバイルアプリ向けセキュリティサービスのご紹介 以下の企画に準拠したサービスを提供いたします。OWASPモバイルセキュリティテストガイド(MSTG)-最新版OSSTMMNIST-SP800-115 情報セキュリティ検査技術基準NIST-SP800-163 サードパーティAPPテスト技術仕様書人工知能ベースの最適化シード選択ファジング法により、未知のシステムの脆弱性を発見し、防御策を迂回させることが可能な検査方法を確立しています。ヒューリスティック・ベースのアプローチとツリー分析を用いて、脆弱性の完全な検査を行います。 モバイルアプリクイック診断 モバイルアプリ単体診断 高頻度で更新されるアプリ側のセキュリティを担保 診断期間は超短期間(1日) モバイルアプリ向けペネトレーションテスト モバイルアプリ+サーバー側全体を含めた診断 網羅的な診断によるシステム全体のセキュリティを担保 要件やシナリオに応じたきめ細かいテストを実地 モバイルアプリクイック診断レポートとしてMobile App Security Checklistの内容もご提供 モバイルアプリクイック診断モバイルアプリ向けペネトレーションテスト診断対象モバイルアプリパッケージ単体(iOS、Android)モバイルアプリパッケージ(iOS、Android)モバイルアプリ接続先サーバー/システム診断基準OWASP Top10 Mobile Risks(サーバー側が関連するM4,M6を除く)等OWASP Top10 Mobile Risks、OSSTMM、PCI DSS外部ペネトレーションテスト など(応相談)特徴モバイルアプリパッケージ単体に対する高速なツール診断サーバーへの接続は一切不要ですモバイルアプリならびに接続先システムを含めた網羅的な脆弱性診断とペンとレーションテストを実地診断手法弊社同時ツールによる自動診断(パッケージをご提供いただき診断)セキュリティエンジニアによるAIツール+手動リモート診断課金体系アプリケーションパッケージ当たりの定額料金サブドメイン/FQDN単位の定額料金(Web以外のペネトレーションテストではIP等ホスト単位で課金)72万円102~194万円(対象機能により単価が異なります)診断期間(目安)1日間3週間報告形式セキュリティエンジニアによるレビュー済み報告書セキュリティエンジニアによるレビュー済み報告書+報告会北酷暑ご提供納期(目安)7営業日15営業日 モバイルアプリクック診断では、サーバー側のM4とM6を除く、アプリケーション単体のセキュリティリスクを診断します モバイルアプリ診断ペネトレーションテストM1-Improper Platform Usageプラットフォームの不適切な利用M2-Insecure Data Storage安全でないデータストレージM3-Insecure Communication安全でない通信M4-Insecure Authentication安全でない認証 M5-Insufflcient Cryptography不十分な暗号化M6-Insecure Authorization安全でない認可 M7-Client Code Qualityクライアントコードの品質M8-Cdode Tamperingコードの改ざんM9-Reverse EngineeringリバースエンジニアリングM10-Extraneous Functionality無関係な機能 診断項目診断内容権限とマニフェスト分析攻撃者が特権昇格したり、アプリケーション内部のデータを変更したりすることを可能にする権限の問題があるかどうかをスキャンします。また、アプリケーションが過剰に不合理な権限を要求しているかどうかもスキャンします。さらに、他の悪意のあるアプリケーションがテスト対象のアプリケーションにフックして感染し、データ漏洩やアプリケーションの侵害を引き起こす可能性があるかどうかもスキャンします。バイナリとコードの分析コードをデコンパイルし、アプリケーション内部の脆弱性をスキャンします。SQLインジェクション、ハードコードされたパスワード、ストレージの安全でない使用方法、ロジックフロー、JailBreakやルート検出などの問題を探索し、アプリケーションの侵害を引き起こす可能性のある多数のベクトルを検査します。ネットワーク通信診断アプリケーション内部で通信されるドメイン名やIPアドレスを探します。ドメイン名やIPアドレスの中には、侵害されたり、誤って指定されたり、悪者によって注入されたりするものがあります。当社のスキャナは、各通信先を自動的にチェックします。認知の問題と一致するマルウェアとC&Cサーバーの識別も実地されます。証明書の警告証明書が有効かの確認のほか、隠し証明書が無いか、また、中間者攻撃防止のために証明書のピン止めがされているかをスキャンします。多くのアプリケーションでは証明書のチェックを適切に実地出来ていないことで中間者攻撃につながり、データ漏洩の原因となります。ファイル解析アプリケーションの実行中に、何らかの動作を達成するため、ファイルが読み込まれたり、書き込まれたり、実行されることがあります。当社のスキャナは、攻撃者がファイルを利用してアプリケーションのセキュリティ問題を引き起こす可能性があるかどうかをチェックします。例えば機密情報がファイル内に保存されているかどうか、攻撃者がファイルを変更してロジックフローを変更する可能性があるかどうかなどをチェックします。コンポーネントの列挙アプリケーションで使用されているコンポーネントをチェックします。コンポーネントの中で、脆弱性が含まれていたり、古くなっているものを指摘します。