サービス概要
AndroidやiOSのアプリケーションを分析し、脆弱性を検出・報告します。分析はアプリケーションを実際に動作させて行う動的解析と、リバースエンジニアリングによる静的解析を組み合わせて行います。
-
インプット
APKファイル (Android)
IPAファイル (iOS) -
診断
セキュリティ検証標準に基づいた診断
(MASVS) -
アウトプット
スマートフォンアプリケーションの
脆弱性と改善提案
主な診断項目
-
MASVS・OWASP Mobile TOP 10 など
機微情報・個人情報が他アプリからアクセス可能な領域へ保存されていないかや、TLSや証明書により通信が保護されているかはもちろん、セキュリティ検証標準で定められた全スマートフォンアプリケーションで確認すべき診断項目が網羅されています。
-
OS提供機能の設定確認
OSが提供する機能が適切に設定されていないと、機密情報の漏洩につながりかねません。OSが提供する暗号化機能が適切に利用されているか、また、アプリケーションの連携機能に不適切な機微情報が扱われていないか診断します。
-
リバースエンジニアリングの耐性
アプリケーション自体が解析された場合に、セキュリティリスクが顕在化してしまう場合があります。Jailbreakやroot化された端末での実行防止や、証明書によるパッケージの保護などにより、リバースエンジニアリングに耐性があるか診断します。
私たちが選ばれる理由
-
01
高品質・低価格・短納期な
脆弱性診断を提供従来の脆弱性診断では、特殊なスキルを持ったホワイトハッカーによる属人性の高い診断が多く、担当者が変わると「結果に差異がある」「網羅性が見えない」など、診断品質がバラつく問題がありました。当社のWebアプリケーション診断は、標準化で属人性を排除し、安定して高品質を実現します。さらに、仕組化された診断プロセスで、低コストと短納期を実現します。
-
02
ツールに頼らない手動診断で
発見困難な脆弱性を検出診断エンジニアによる手動診断で、「アクセス制御の回避」、「権限外のリソースへのアクセス・情報の更新」、「機密情報の暴露・入手」といったツール診断では発見が困難な脆弱性を検出します。また、各種インジェクション系に代表される緊急度の高い脆弱性を検出した場合は、実際に情報の入手や不正な操作が可能であるかどうかを試行し、その結果を報告します。
-
03
CVSS(※)に基づいて
リスク評価を客観的に可視化発見された脆弱性は、CVSS(共通脆弱性評価システム)に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告します。CVSSを用いたリスク評価は、脆弱性対応の優先順位付けや組織内における脆弱性対応の基準策定にもお役立ていただけます。
※CVSS:共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会 (NIAC: National Infrastructure Advisory Council) のプロジェクトで 2004年10月に原案が作成されました。
-
総評
評点・要素別評価・コメント付
-
検査項目一覧
観点・検査数・深刻度別脆弱性数を提示
-
脆弱性詳細
対象画面・想定脅威・対策・再現方法
料金プラン
スマートフォンアプリケーション
診断
-
-
スマートフォン
アプリケーション
診断 ¥ 300,000 〜
-
-
-
ブロンズ
とにかくコストを抑えて
診断をしたい -
MASVS重要観点
12項目- ニュースアプリ
- WebViewのみを使ったアプリ
-
ブロンズ
-
-
シルバー
緊急度の高い脆弱性を
洗い出したい -
OWASP Mobile TOP10
30項目- 検索アプリ
- 端末内に個人情報を保持しないアプリ
-
シルバー
-
人気プラン
-
ゴールド
網羅性高く脆弱性を
洗い出したい -
MASVS
48項目- SNSアプリ
- 端末内に個人情報を保持するアプリ
-
ゴールド
-
-
プラチナ
高度な攻撃を想定して
診断をしたい -
お客様個別の検査観点
- ソーシャルゲーム
- 高度な攻撃が想定されるアプリ
-
プラチナ
OWASP Mobile TOP10:最も重大なモバイルアプリケーションリスクトップ10
MASVS(Mobile Application Security Verification Standard):モバイルアプリケーションセキュリティ検証標準
診断スケジュール例
お客様のスケジュールに合わせた
診断に対応
高品質でスピーディー、診断翌日にレポート納品
左右にスワイプ
