Proactive Defense 情報セキュリティサービス
サービスに関するお問い合わせ 0120-996-535 受付時間:平日10:00~18:00
  • 資料請求
  • お問い合わせ
  • お見積もり依頼

【サービス紹介】セキュリティ診断サービス

スマートフォンアプリケーションセキュリティ診断

サービス内容

スマートフォンアプリ(iOSアプリ・Androidアプリ)のアプリ自体とアプリと連携するサーバのプログラムに対して詳細な診断を実施します。

専門の診断員が、アプリの特定に合わせ、手動による網羅性の高い診断を実施致します。
スマートフォンアプリケーションセキュリティ診断では、一般に公開されている複数のツールを組み合わせて活用することで、実際の攻撃者に近い疑似攻撃と解析を行います。

また、下記のガイドラインに準拠した診断も可能です。
・サードパーティであるOWASP(Open Web Application Security Project)の「OWASP TOP 10」
・一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の「Androidアプリのセキュア設計・セキュアコーディングガイド」

問題1.

  • 利用アプリから端末情報(住所録、GPS等)の漏えい
  • スマートフォンアプリが機能として必要とする以上に端末の持つ情報を取得していたり、必要以上に取得した情報が不適切に扱われた場合、端末情報が漏洩する可能性があります。

問題2.

  • 不適切な認証情報の管理
  • パスワードやセッション情報など認証にかかわる情報が不適切に端末に保管された場合、その情報が別の端末に移されサーバの情報にアクセスできてしまう可能性があります。

問題3.

  • 不適切なアプリケーション連携(アンドロイドのみ)
  • その他のAndroidアプリと連携していたり、必要とする以上の情報をやり取りしている場合に、その他のAndroidアプリから端末情報が漏洩する可能性があります。

問題4.

  • 機密情報の不適切な管理
  • スマートフォンアプリが取り扱う機密情報が不適切に端末内に保管された場合、機密情報が漏えいする可能性があります。

問題5.

  • 通信経路の暗号化
  • スマートフォンアプリとサーバとの通信経路が暗号化されないまま機密情報や認証情報を通信すると情報が漏えいする可能性があります。

ご提供するサービスは、iOSアプリとAndroidアプリで異なり、それぞれ下記の通りです。

iOSアプリマニュアル診断サービス

【診断方法】

お客様からご提供頂いたソースコードもしくはAd Hoc配布形式(.ipa)から、対象となるアプリを弊社診断環境にインストールして擬似攻撃診断を実施する。
お客様のテスト環境にあるサービス提供サーバに対して擬似攻撃診断を実施する。

■Minimum(8項目) … ユーザの情報(個人情報、アカウント情報など)を保持しないアプリに対する診断
■Full(16項目) … ユーザの情報を保持しているアプリに対する診断

Androidアプリマニュアル診断サービス

【診断方法】

お客様からご提供いただいたアプリを弊社診断環境にインストールして疑似攻撃を実施する。
お客様のテスト環境にあるサービス提供サーバに対して疑似攻撃診断を実施し、ソースコードを診断する。

■Minimum(16項目) … ユーザの情報(個人情報、アカウント情報など)を保持しないアプリに対する診断
■Standard(24項目) … ユーザの情報を保持しており、他のアプリと連携する必要がないアプリに対する診断
■Full(30項目) … ユーザの情報を保持しており、他のアプリと連携する必要があり、Androidの機能を最大限に利用したアプリに対する診断

※サービス提供サーバに対する診断は、サーバアプリの所有者しか診断を依頼する事が出来ません。


  • 資料請求
  • お問い合わせ
  • お見積もり依頼

導入の流れ


  • 資料請求
  • お問い合わせ
  • お見積もり依頼

仕様・価格

サービス iOSアプリ
マニュアル診断サービス
Androidアプリ
マニュアル診断サービス
アプリケーション側診断 Minimum
(8項目)
Full
(16項目)
Minimum
(16項目)
Standard
(24項目)
Full
(30項目)
価格(1アプリケーション) 65万円~ 100万円~ 130万円~ 160万円~ 255万円~
納品 納品に要する期間については別途お問い合わせください

※ 診断対象アプリの仕様に合わせて診断項目を調整いただくことも可能です。
※ 診断の価格はアプリの規模により変動します。

Android診断の診断項目

診断メニュー 診断内容 Minimum
(16項目)
Standard
(24項目)
Full
(30項目)
A.認証 A.1. 総当り攻撃
A.2. 不適切な認証
A.3. 不適切なセッション管理
B.情報漏えい B.1. 機密情報のハードコード
B.2. システムログによる情報漏洩
B.3. 重要情報の安全でない保存
B.4. Account Managerの不適切な利用
B.5. 不適切な暗号化
B.6. サーバとの安全でない通信
B.7. 不適切なSSL証明書の確認
B.8. ソースコード難読化の有無
B.9. Notificationの不適切な利用
B.10. 情報漏洩:キャッシュ、その他
C.クライアント攻撃 C.1. URLスキームの悪用
C.2. 不適切なWebViewの利用
C.3. ロジックの悪用
C.4. パス・トラバーサル
C.5. SQLインジェクション
D.不適切な権限 D.1. 必要以上の権限
D.2. 不適切なパーミッションの保護レベル
D.3. 不適切なファイルパーミッション
E.不適切なプロセル間通信 E.1. Activityへの不適切なIntent送信
E.2. Activityの不適切なIntent受信
E.3. Broadcastによる不適切なIntent送信
E.4. Broadcastによる不適切なIntent受信
E.5. Content Providerの不適切な利用
E.6. Content Providerの不適切な公開
E.7. Serviceへの不適切なIntent送信
E.8. Serviceへの不適切なIntent受信
E.9. 不適切なアプリ間連係
その他 その他、上記以外のアプリサイドの脆弱性が発見されれば報告します。

iOSアプリアプリケーション側の診断項目

診断メニュー 診断内容 Minimum
(8項目)
Full
(16項目)
A.認証 A.1. 総当り攻撃
A.2. 不適切な認証
A.3. 不適切なセッション管理
B.情報漏えい B.1. 機密情報のハードコード
B.2. システムログによる情報漏洩
B.3. 重要情報の安全でない保存
B.4. サーバとの安全でない通信
B.5. 不適切なSSL証明書の確認
B.6. ソースコード難読化の有無
B.7. 情報漏洩:キャッシュ、その他
C.クライアント攻撃 C.1. URLスキームの悪用
C.2. 不適切なWebViewの利用
C.3. ロジックの悪用
C.4. メモリ破壊の対策
C.5. パス・トラバーサル
C.6. SQLインジェクション
その他 その他、上記以外のアプリサイドの脆弱性が発見されれば報告します。
  • 資料請求
  • お問い合わせ
  • お見積もり依頼