スマートフォン
アプリケーション
脆弱性診断

スマートフォンアプリケーション脆弱性診断とは?

Webアプリケーションと異なり、スマートフォンのアプリケーションは通常端末にインストールするため、
アプリケーション上に保存されている情報に加えて端末自体に保存されている情報の保護も必要となります。
本診断では、アプリケーションの解析を行い、個人情報の漏えいリスクやコンテンツの改ざんなどが行われないかどうか診断を行います。

こんな人におすすめ

  • ・スマホアプリ脆弱性診断を一度も受診したことがない。
  • ・ユーザーが安全に使えるスマホアプリをリリースしたい。
  • ・スマホアプリに新しい機能を追加した。
  • ・現状のリスクを把握し、セキュリティ専門技術者の意見が聞きたい。
  • ・第三者によるセキュリティ評価を求められている。

スマートフォンアプリケーション脆弱性診断を受けて分かること

Webアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。

Android/iOSアプリ共通の検査

SSL証明書検証の不備
SSLを用いて通信する際に不適切な証明書が利用可能か検査する
不適切なパーミッションの使用
アプリが不必要に多くの権限を持っていないか検査する
カスタムスキーマの不適切な使用
カスタムスキーマ経由で不適切な動作が行われていないか検査する
デバッグ機能の使用
本番向けのビルドでデバッグ機能が利用可能か検査する
端末の時間変更による制限の迂回
端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査する​
アプリへの重要情報の埋め込み
アプリ内に重要情報が存在していないか検査する
ストレージへの重要情報の出力
端末内に重要情報を出力していないか検査する
ログへの重要情報の出力
ログに重要情報を出力していないか検査する

Androidアプリ特有の検査

フルバックアップ機能の使用
フルバックアップ機能が有効でないか検査する
Activityの不適切な使用
Activityが外部からintentを受け取った際に不適切な動作を行わないか検査する
Serviceの不適切な使用
Serviceが外部からintentを受け取った際に不適切な動作を行わないか検査する
Content Providerの不適切な使用
Content Providerが外部からintentを受け取った際に不適切な動作を行わないか検査する
Broadcast Receiverの不適切な使用
Broadcast Receiverが外部からデータ操作の要求を取った際に不適切な動作を行わないか検査する
重要情報のBroadcast
他のアプリに重要情報がブロードキャストされていないか検査する

iOSアプリ特有の検査

ATS(App TranasportSecurity)の使用
ATSが有効になっていないか検査する

APIとの通信に関する検査​

基本診断​
SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で検査する​
FLOW

スマートフォンアプリケーション脆弱性診断
サービスの流れ

FLOW

  • 01
    お問い合わせ

    お問い合わせフォームより、必要事項を記入の上お問い合わせ下さい。

  • 02
    ヒアリング・お見積り

    弊社担当より折り返しメールにてご連絡させて頂きます。
    その後、スマホアプリの詳細についてお伺いした後、弊社よりお見積りをご提出いたします。

  • 03
    ご発注・日程確定

    お見積り内容を承諾いただけましたらご発注ください。
    ご発注後に診断日程を正式に確定いたします。

  • 04
    脆弱性診断

    脆弱性診断を実施いたします。
    ※速報送付サービスをお申し込み頂いた場合は、状況に応じて診断期間中に速報を送付いたします。

  • 05
    結果のご報告

    脆弱性診断が完了後、通常5営業日以内に報告書をご提出いたします。

  • 06
    アフターサポート
    (オプション)

    オプションサービスにお申し込み頂いている場合、再診断や報告会を実施いたします。

SAMPLE

報告書サンプル

SAMPLE

わかりやすい報告書をご提出いたします。
また、下記のオプションサービスを利用することによって
お客様に直接ご説明させて頂く機会も設けております。

ご参考価格

PRICE

IFTの料金形態はお客様ごとの個別お見積もりとなります。
スマホアプリの構成によって料金に変動がございますので、まずは下記フォームよりお問い合わせください。

基本料金
500,000円(税込)
※アプリ1つ分での料金となります。2つ目以降は10%割引となります。また、API診断については1リクエストごとに加算されるボリュームディスカウント体系となります。

オプションサービス

OPTION

上記のプランに加えてオプションサービスもご用意しています。
複数オプションサービスの組み合わせも可能ですので、ご予算・ご要望に合わせたプランを組み立てることができます。

速報送付サービス
早急に改修が必要であると見込まれた脆弱性に対して診断期間中に速報という形でご報告を行うサービスになります。
報告会サービス
検出された脆弱性について、報告書のご提出だけではなく、直接のお伺いまたはWeb会議にてご説明させて頂くサービスです。
再診断サービス
初回診断の報告書ご提出日から3か月以内のお申出に限り、検出された脆弱性に対して再診断を実施させて頂くサービスです。
再診断報告書も合わせて作成し、ご提出させて頂きます。
※基本料金内に既に1回分の再診断費用が含まれております。
2回目以降の再診断を希望される場合に本オプションサービスをご利用頂く形になります。

いずれもお見積り時にご案内・ご提案させて頂きますので、お気軽にお問い合わせ下さい。