スマートフォンアプリケーション脆弱性診断｜ Smartphone Application Vulnerability Assessment

スマートフォンアプリケーション脆弱性診断

スマートフォンアプリケーション脆弱性診断とは

スマートフォンアプリ（Androidアプリ・iOSアプリ）、およびアプリと連携するサーバ側のプログラムに対して、複数の診断ツールと手動診断を組み合わせて脆弱性を診断するサービスです。これにより「アプリの特性に合わせた診断」「網羅性の高い診断」「実際の攻撃者に近い疑似攻撃による診断」が可能です。

Androidアプリ向けとiOSアプリ向け、それぞれの診断プランがございます。

また、アプリ側の診断だけではなく、サーバ側を含めた診断も可能です。サーバ側の診断に関してはWebAPI脆弱性診断にて実施いたします。

診断プラン（Androidアプリ）

アプリの特性に合わせた3つのプランにて、最適かつ網羅性の高い診断を実施致します。
また、下記ガイドラインに準拠した診断も可能です。

サードパーティであるOWASP(Open Web Application Security Project)の「OWASP TOP 10」
日本スマートフォンセキュリティ協会(JSSEC)の「Androidアプリのセキュア設計・セキュアコーディングガイド」

診断プラン	診断対象アプリ
Minimum	ユーザの情報（個人情報、アカウント情報など）を保持しないアプリに対する診断
Standard	ユーザの情報を保持しており、他のアプリと連携する必要がないアプリに対する診断
Full	ユーザーの情報を保持しており、他のアプリと連携する必要があり、Androidの機能を最大限に利用したアプリに対する診断

診断プラン（iOSアプリ）

アプリの特性に合わせた2つのプランにて最適かつ網羅性の高い診断を実施致します。
また、下記ガイドラインに準拠した診断も可能です。

サードパーティであるOWASP(Open Web Application Security Project)の「OWASP TOP 10」

診断プラン	診断対象アプリ
ブラックボックス診断	個人情報を保持していないアプリに対する診断アプリデータのみ受領し、動的解析を行います
ホワイトボックス診断	個人情報を保持しているアプリに対する診断アプリデータ及びソースコードを受領し、動的解析と静的解析を行います

成果物サンプル

サービスの特長

万全のチーム体制

高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制にて診断を実施しています。技術力には定評があります。

マニュアルによる丁寧な検証

ツールによる自動診断だけではなく、マニュアル診断も実施しています。１機能ごとに診断した結果を診断員が検証し、「本当に脆弱性があるのか、それとも誤検知なのか」を判断しています。また、脆弱性が見つかった箇所は、発生時の画面キャプチャーを含めた報告書を作成します。

制作ベンダゆえのノウハウと
丁寧なレポート

実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、スマホアプリの現状と問題点をご報告いたします。さらに、問題箇所をわかりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。

豊富な導入実績

業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトやアプリの診断を実施してきました。豊富な実績がございますので、安心してご依頼ください。

導入の流れ

STEP

サービスご契約

機密保持契約の締結、情報提供
お見積
ご発注

STEP

診断事前調整

診断スケジュール調整
ヒアリングシートのご確認、ご記入

STEP

弊社にて診断および報告書作成

診断
報告書作成および納品

STEP

報告会/再診断実施（オプション）

オプションで報告会や再診断をお申込みいただいている場合、スケジュール調整の上それぞれ実施

サービスに関するよくあるご質問

スマートフォンアプリケーション脆弱性診断｜ Smartphone Application Vulnerability Assessment

スマートフォンアプリケーション脆弱性診断とは

診断プラン（Androidアプリ）

診断プラン（iOSアプリ）

成果物サンプル