スマートフォンアプリケーション脆弱性診断とは?
Webアプリケーションと異なり、スマートフォンのアプリケーションは通常端末にインストールするため、
アプリケーション上に保存されている情報に加えて端末自体に保存されている情報の保護も必要となります。
本診断では、アプリケーションの解析を行い、個人情報の漏えいリスクやコンテンツの改ざんなどが行われないかどうか診断を行います。
こんな人におすすめ
- ・スマホアプリ脆弱性診断を一度も受診したことがない。
- ・ユーザーが安全に使えるスマホアプリをリリースしたい。
- ・スマホアプリに新しい機能を追加した。
- ・現状のリスクを把握し、セキュリティ専門技術者の意見が聞きたい。
- ・第三者によるセキュリティ評価を求められている。
スマートフォンアプリケーション脆弱性診断を受けて分かること
Webアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。
Android/iOSアプリ共通の検査
- SSL証明書検証の不備
- SSLを用いて通信する際に不適切な証明書が利用可能か検査する
- 不適切なパーミッションの使用
- アプリが不必要に多くの権限を持っていないか検査する
- カスタムスキーマの不適切な使用
- カスタムスキーマ経由で不適切な動作が行われていないか検査する
- デバッグ機能の使用
- 本番向けのビルドでデバッグ機能が利用可能か検査する
- 端末の時間変更による制限の迂回
- 端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査する
- アプリへの重要情報の埋め込み
- アプリ内に重要情報が存在していないか検査する
- ストレージへの重要情報の出力
- 端末内に重要情報を出力していないか検査する
- ログへの重要情報の出力
- ログに重要情報を出力していないか検査する
Androidアプリ特有の検査
- フルバックアップ機能の使用
- フルバックアップ機能が有効でないか検査する
- Activityの不適切な使用
- Activityが外部からintentを受け取った際に不適切な動作を行わないか検査する
- Serviceの不適切な使用
- Serviceが外部からintentを受け取った際に不適切な動作を行わないか検査する
- Content Providerの不適切な使用
- Content Providerが外部からintentを受け取った際に不適切な動作を行わないか検査する
- Broadcast Receiverの不適切な使用
- Broadcast Receiverが外部からデータ操作の要求を取った際に不適切な動作を行わないか検査する
- 重要情報のBroadcast
- 他のアプリに重要情報がブロードキャストされていないか検査する
iOSアプリ特有の検査
- ATS(App TranasportSecurity)の使用
- ATSが有効になっていないか検査する
APIとの通信に関する検査
- 基本診断
- SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で検査する
スマートフォンアプリケーション脆弱性診断
サービスの流れ
-
01お問い合わせ
お問い合わせフォームより、必要事項を記入の上お問い合わせ下さい。
-
02ヒアリング・お見積り
弊社担当より折り返しメールにてご連絡させて頂きます。
その後、スマホアプリの詳細についてお伺いした後、弊社よりお見積りをご提出いたします。 -
03ご発注・日程確定
お見積り内容を承諾いただけましたらご発注ください。
ご発注後に診断日程を正式に確定いたします。 -
04脆弱性診断
脆弱性診断を実施いたします。
※速報送付サービスをお申し込み頂いた場合は、状況に応じて診断期間中に速報を送付いたします。 -
05結果のご報告
脆弱性診断が完了後、通常5営業日以内に報告書をご提出いたします。
-
06アフターサポート
(オプション)オプションサービスにお申し込み頂いている場合、再診断や報告会を実施いたします。
報告書サンプル
わかりやすい報告書をご提出いたします。
また、下記のオプションサービスを利用することによって
お客様に直接ご説明させて頂く機会も設けております。
ご参考価格
IFTの料金形態はお客様ごとの個別お見積もりとなります。
スマホアプリの構成によって料金に変動がございますので、まずは下記フォームよりお問い合わせください。
- 基本料金
- 500,000円(税込)
オプションサービス
上記のプランに加えてオプションサービスもご用意しています。
複数オプションサービスの組み合わせも可能ですので、ご予算・ご要望に合わせたプランを組み立てることができます。
- 速報送付サービス
- 早急に改修が必要であると見込まれた脆弱性に対して診断期間中に速報という形でご報告を行うサービスになります。
- 報告会サービス
- 検出された脆弱性について、報告書のご提出だけではなく、直接のお伺いまたはWeb会議にてご説明させて頂くサービスです。
- 再診断サービス
- 初回診断の報告書ご提出日から3か月以内のお申出に限り、検出された脆弱性に対して再診断を実施させて頂くサービスです。
再診断報告書も合わせて作成し、ご提出させて頂きます。
※基本料金内に既に1回分の再診断費用が含まれております。
2回目以降の再診断を希望される場合に本オプションサービスをご利用頂く形になります。
いずれもお見積り時にご案内・ご提案させて頂きますので、お気軽にお問い合わせ下さい。