スマートフォンアプリは、個人情報やクレジットカード情報など、多くの機密情報を取り扱う可能性があります。しかし、Webアプリケーションとは異なり、端末に直接インストールされるため、アプリ自体の脆弱性に加え、端末自体に保存されている情報の漏洩リスクにも注意が必要です。
アイ・エフ・ティのスマートフォンアプリケーション脆弱性診断は、アプリの解析と実機検証を通して、情報漏洩や改ざんといった脆弱性の有無を診断し、お客様の大切なアプリを多角的に守るサービスです。
Androidアプリの場合、アプリケーションパッケージを逆コンパイル解析することで、ソースコードレベルで脆弱性を検出します。
独自に作成した「スマートフォンセキュリティガイドライン」に基づき、単なる脆弱性発見だけでなく、開発改善に繋がる具体的なアドバイスを提供します。
開発元から第三者によるセキュリティ評価を求められた場合、アイ・エフ・ティのスマートフォンアプリ脆弱性診断を活用すれば、診断結果付きでアプリを納入できます。
早急に改修が必要と判断された脆弱性については、診断期間中に速報という形でご報告いたします。
初回診断の報告書提出日から3か月以内であれば、検出された脆弱性に対して無償で再診断を実施いたします。
開発段階からアプリの
セキュリティを確保し、
ユーザーの信頼を獲得するために
スマートフォンアプリの
安全性を高める診断を!
モバイル向けアプリケーションに対して疑似攻撃を行います。
アプリケーション自身の脆弱性を検査するとともに、Webアプリケーション診断と同様ツールによる自動診断と、
診断員による手動診断を組み合わせて検査します。
スマートフォンアプリケーション脆弱性診断では、主に下記の項目について診断を行っています。
| SSL証明書検証の不備 | SSLを用いて通信する際に不適切な証明書が利用可能か検査する。 |
|---|---|
| 不適切なパーミッションの使用 | アプリが不必要に多くの権限を持っていないか検査する。 |
| カスタムスキーマの不適切な使用 | カスタムスキーマ経由で不適切な動作が行われていないか検査する。 |
| デバッグ機能の使用 | 本番向けのビルドでデバッグ機能が利用可能か検査する。 |
| 端末の時間変更による制限の迂回 | 端末の時間を変更し、アプリ内の機能の利用制限を迂回できないか検査する。 |
| アプリへの重要情報の埋め込み | アプリ内に重要情報が存在していないか検査する。 |
| ストレージへの重要情報の出力 | 端末内に重要情報を出力していないか検査する。 |
| ログへの重要情報の出力 | ログに重要情報を出力していないか検査する。 |
| フルバックアップ機能の使用 | フルバックアップ機能が有効でないか検査する。 |
|---|---|
| Activityの不適切な使用 | Activityが外部からintentを受け取った際に不適切な動作を行わないか検査する。 |
| Serviceの不適切な使用 | Serviceが外部からintentを受け取った際に不適切な動作を行わないか検査する。 |
| Content Providerの不適切な使用 | Content Providerが外部からintentを受け取った際に不適切な動作を行わないか検査する。 |
| Broadcast Receiverの不適切な使用 | Broadcast Receiverが外部からデータ操作の要求を取った際に不適切な動作を行わないか検査する。 |
| 重要情報のBroadcast | 他のアプリに重要情報がブロードキャストされていないか検査する。 |
|
ATS(App Transport Security) |
ATSが有効になっていないか検査する。 |
|---|
|
基本診断 |
SQLインジェクションなど、Webアプリケーションへの診断と同様の項目で検査する。 |
|---|
アイ・エフ・ティの料金形態はお客様ごとの個別お見積もりとなります。
スマホアプリの構成によって料金に変動がございますので、まずはお問い合わせください。
上記のプランに加えてオプションサービスもご用意しています。
複数オプションの組み合わせも可能で、ご予算・ご要望に合わせたプランを組み立てることができます。
いずれもお見積り時にご案内・ご提案いたしますので、お気軽にお問い合わせください。
| サービス概要 |
検出された脆弱性について、報告書のご提出だけではなく、対面またはWeb会議にてご説明させていただくサービスです。 |
|---|---|
| 料金 | 10万円/回(オンラインの場合 5万円/回) |
| サービス概要 |
初回診断の報告書ご提出日から3カ月以内のお申し出に限り、検出された脆弱性に対して再診断を実施するサービスです。 基本料金内にすでに1回分の再診断費用が含まれておりますので、2回目以降の再診断を希望される場合に本オプションサービスをご利用ください。 |
|---|---|
| 料金 | 10万円/回 |
診断期間終了後、5営業日を目安に、緊急・高・中・低の検出された脆弱性をまとめた報告書を納品物としてご提出いたします。オプションサービスを利用することによって、お客様に直接ご説明させていただく「報告会」も実施しております。報告書サンプルは下記よりご確認ください。
スマートフォンアプリを弊社にお預かりする必要があるため、アプリの送付方法や、アプリからサーバーへのアクセス確認などを含めた全体の流れを考慮し、10営業日前後の期間を頂戴しております。
以下のスマートフォンアプリケーションに対応しております。
| OS | iOSまたはAndroid |
|---|---|
| アプリケーション | iOSまたはAndroidアプリ |
| 連携部分 | 各スマートフォンアプリからWebサーバーへのWebアプリケーション連携部分は、Webアプリケーション脆弱性診断として承ります。 |
その他、ご不明な点やご質問がありましたら、お気軽にお問い合わせください。