スマートフォンアプリケーション脆弱性診断

スマートフォンアプリケーション脆弱性診断とは
スマートフォンアプリ(Androidアプリ・iOSアプリ)、およびアプリと連携するサーバ側のプログラムに対して、複数の診断ツールと手動診断を組み合わせて脆弱性を診断するサービスです。これにより「アプリの特性に合わせた診断」「網羅性の高い診断」「実際の攻撃者に近い疑似攻撃による診断」が可能です。
Androidアプリ向けとiOSアプリ向け、それぞれの診断プランがございます。
また、アプリ側の診断だけではなく、サーバ側を含めた診断も可能です。サーバ側の診断に関してはWebAPI脆弱性診断にて実施いたします。

診断プラン(Androidアプリ)
アプリの特性に合わせた3つのプランにて、最適かつ網羅性の高い診断を実施致します。
また、下記ガイドラインに準拠した診断も可能です。
- サードパーティであるOWASP(Open Web Application Security Project)の「OWASP TOP 10」
- 日本スマートフォンセキュリティ協会(JSSEC)の「Androidアプリのセキュア設計・セキュアコーディングガイド」
診断プラン | 診断対象アプリ |
Minimum | ユーザの情報(個人情報、アカウント情報など)を保持しないアプリに対する診断 |
Standard | ユーザの情報を保持しており、他のアプリと連携する必要がないアプリに対する診断 |
Full | ユーザーの情報を保持しており、他のアプリと連携する必要があり、Androidの機能を最大限に利用したアプリに対する診断 |
診断プラン(iOSアプリ)
アプリの特性に合わせた2つのプランにて最適かつ網羅性の高い診断を実施致します。
また、下記ガイドラインに準拠した診断も可能です。
- サードパーティであるOWASP(Open Web Application Security Project)の「OWASP TOP 10」
診断プラン | 診断対象アプリ |
ブラックボックス診断 | 個人情報を保持していないアプリに対する診断 アプリデータのみ受領し、動的解析を行います |
ホワイトボックス診断 | 個人情報を保持しているアプリに対する診断 アプリデータ及びソースコードを受領し、動的解析と静的解析を行います |
成果物サンプル




サービスの特長
万全のチーム体制
高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制にて診断を実施しています。技術力には定評があります。
マニュアルによる丁寧な検証
ツールによる自動診断だけではなく、マニュアル診断も実施しています。1機能ごとに診断した結果を診断員が検証し、「本当に脆弱性があるのか、それとも誤検知なのか」を判断しています。また、脆弱性が見つかった箇所は、発生時の画面キャプチャーを含めた報告書を作成します。
制作ベンダゆえのノウハウと
丁寧なレポート
実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、スマホアプリの現状と問題点をご報告いたします。さらに、問題箇所をわかりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。
豊富な導入実績
業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトやアプリの診断を実施してきました。豊富な実績がございますので、安心してご依頼ください。
導入の流れ
- 機密保持契約の締結、情報提供
- お見積
- ご発注
- 診断スケジュール調整
- ヒアリングシートのご確認、ご記入
- 診断
- 報告書作成および納品
- オプションで報告会や再診断をお申込みいただいている場合、スケジュール調整の上それぞれ実施
関連サービス




導入事例
ブログ
-
【ゼロトラストで考える】DX社会における工場セキュリティの進め方とは
DX社会の実現とともに現在ではあらゆるロケーション・モノがネットワークにつながりはじめ、守るべき資産は境界の内外どちらにもあり、境界内部においても脅威は存在するというゼロトラストの考え方が注目されるようになってきました。外部ネットワークと… -
【OTセキュリティ】制御システムへのサイバー攻撃を仮想環境で試してみた
日常で利用されるIoT機器――例えばウェブカメラ、スマート家電やルータなど――は、その普及が進むにつれセキュリティ対策の重要性が一層高まっています。IoTのセキュリティに関するトピックとしては、「NOTICE」※1が2019年より開始されたことも記憶に新しい… -
【体験記】初心者向けCTF勉強会に参加、参加感想などシェアします!
皆様はセキュリティ関連のイベントや勉強会にご興味はあるでしょうか。興味がありつつもどんなものかわからず、身構えてしまって気づいたら開催日が過ぎていた、というようなことがよくあるかと思います。そこで当ブログでは弊社メンバーが参加したセキュ…