スマートフォン解析 top

TOP > サービスメニュー > スマホアプリセキュリティ診断

タイガーチームサービスのサービスメニュー

スマホアプリセキュリティ診断

スマートフォンアプリに対して、APKファイルまたはIPAファイルを解析する「静的解析」と、アプリを動作させることで生成される各種ファイルや機能の悪用可否を確認する「動的解析」の2種類の手法による診断を実施します。

スマホアプリセキュリティ診断

スマホアプリセキュリティ診断サービスは、クライアントアプリに対して専門エンジニアが手動による徹底的な診断を行い、その結果を分かりやすく報告するサービスです。

◆静的及び動的解析の2種類の手法による診断
◆細かな診断項目
◆選べるオプションサービス

<主な診断項目例> ※一部抜粋

項目 診断項目概要
スマホアプリ内情報の調査 スマホアプリ内で利用する情報に重要情報が含まれているか調査します
TimeTraveler脆弱性 時刻操作によるスマホアプリの不正利用の可否を調査します
addJavascriptInterfaceの使用 WebView#addJavascriptInterface機能の使用有無を調査します
ログ出力内容の調査 スマホアプリが出力するログ情報に重要情報が含まれているか調査します
不正Intentによる重要情報アクセス Intentによる重要情報へのアクセス可否を調査します
<サービス概要>
項目 サービス概要
診断内容 スマホアプリに対して、弊社診断項目に従って脆弱性診断を実施します
報告書 診断結果をまとめた報告書を提出します
診断結果フォロー 診断結果に対するQA対応を行います
対応OS Android、iOS
<オプションサービス>
オプションサービス名 サービス概要
スマホアプリWebAPI診断 スマホアプリと通信を行うWebAPIに対して、弊社診断項目に従って脆弱性診断を実施します
報告会実施 作成した報告書をもとに担当コンサルタントが報告会を行います
対策確認検査 検出された脆弱性が対策されているかの確認作業を行います
<導入事例>
お客様名 概要
東京エレクトロン デバイス株式会社 WebからのAPIアクセス、スマホアプリからのAPIアクセス、スマホアプリ(APK)自身の脆弱性についてのセキュリティ対策として脆弱性診断を実施
<よくある質問―FAQ―>
Questions Answer
なぜスマホアプリに脆弱性診断が必要なんですか? スマホアプリは各種アカウント情報やクレジットカード情報等の重要情報を扱う事があります。スマホアプリと連携するWebサーバにおいても同様の情報を扱う可能性があります。もし脆弱性があった場合、なりすまし、データ改竄、重要情報漏洩等様々な被害が発生する為、脆弱性診断が必要になります。
スマホアプリにはどのような脅威が潜んでいるんですか? デバッグによるアプリ解析、ログデータの解析、マルウェアアプリからの攻撃などにより、重要情報漏洩や、有料コンテンツの不正利用などの可能性があります。
なぜスマホアプリの診断が必要なのですか?
AppStoreやGooglePlayでアプリの診断はしていないのでしょうか?
マーケットの審査は、アプリが公開基準を満たしているかの確認や、悪意ある動作(個人情報を抜き取るようなマルウェアを仕込む等)をしてないかの審査は実施しますが、脆弱性の有無に関しては診断しません。従って、マーケットの審査とは別に脆弱性診断が必要です。
自分たちが利用する他人が作ったアプリを診断するのでしょうか?それとも、自分たちが作ったアプリを他者に提供する前に診断するのでしょうか? ご依頼社が作成したアプリの診断を行います。
同じアプリでiPhone用とAndroid用があるときは、両方とも診断が必要ですか? 各OS毎に別ファイルですので、それぞれのファイルを診断する必要があります。
オンサイトの診断は可能でしょうか? はい、承ります。例えば、通信先が社内サーバといったケースに備えて実施可能です。
AndroidやiOSではバージョンが多くありますが、バージョンによって診断結果が変わることはありますか? 各種OS及び端末自体の診断ではなく、アンドロイドOS上で動作するアプリの脆弱性診断ですので、OSのバージョンは関係ありません。
診断時間・期間はどのくらい必要ですか? 事前調整/内容確認、診断、速報作成、結果分析/報告書作成/納品、QA対応を含め約1ヶ月を想定しております。
打合せの際に必要な資料と担当に必要なスキルを教えてください。 アプリの内容が分かる資料及びその資料を理解している方が同席されますと、脆弱性診断のご説明及び最適な提案がスムーズに行えるかと思います。
診断はプログラム開発前後含め、どのタイミングで実施することが一般的ですか? 開発完了後から出荷前までの期間に実施するのが一般的です。
絶対に診断を必要とするアプリはどのようなアプリでしょうか教えてください。 個人情報や決済情報等の重要情報を扱うような、脆弱性があった場合に、重大な被害が想定される場合には脆弱性診断が必要です。

お問い合わせはこちら