NECセキュリティ
Breadcrumb navigation
スマートフォンアプリケーション診断
テクノロジーコンサルティングスマートフォンアプリケーションの脆弱性を調査し、対策を取るサービス概要
自社開発したスマートフォン向けアプリケーションの脆弱性への懸念の解消のために、スマートフォンアプリケーション診断は、お客様が開発したスマートフォンアプリケーションに潜んでいる脆弱性の洗い出しと問題点に対する対策を提供するサービスです。
サービスの特長
ソーシャル系アプリケーションなど、様々なアプリケーションに対しての診断経験を持つ専門家が最新の攻撃手法を反映した独自ツールを駆使して、お客様のスマートフォンアプリケーションを診断します。
対象となるアプリケーション
- スマートフォン端末にインストールされるアプリケーション
- 上記アプリケーションがアクセスするWebサーバ側のアプリケーション
対象となる企業および法人様
- BtoB、BtoC向けのスマートフォン向けアプリケーションを展開する法人様
診断実施により明確になる各項目例
スマートフォン端末にインストールされるアプリケーション
- 重要情報が漏えいしている可能性はないか
- バイナリデータを改ざんすることで不正に利用することが可能か
- 利用者に要求するパーミッションが必要最低限であるか
上記アプリケーションがアクセスするWebサーバ側のアプリケーション
- 重要情報が適切な暗号化方式で通信されているか
- データベースへ不正にアクセスすることが可能か
- 一般ユーザが権限を昇格することが可能か
- ※Web側のアプリケーションに対する診断は、「ウェブアプリケーションセキュリティ診断」と同様の診断内容となります。
スマートフォンセキュリティ診断における診断項目
| 診断項目 | |
|---|---|
| API側の不備 | クロスサイトスクリプティング(XSS) |
| SQLインジェクション | |
| 各種インジェクション (XXE/OSコマンド/ディレクトリトラバーサル/HTTPヘッダなど) | |
| エラーメッセージ・コメントの出力 | |
| 不適切な暗号の利用 | |
| 認証処理の不備 | |
| 不正アクセスへの対策状況 | |
| アクセスコントロールの不備 | |
| ビジネスロジックの不備 | |
| 端末側の不備 | パーミッションの不備 |
| SDカード等の外部への情報保存の不備 | |
| ログ出力処理の不備 | |
| アプリ領域への機微情報の取扱 | |
| デバッグモード設定の確認 | |
| 逆コンパイル耐性など | |
- ※上記の記載内容が、当社診断実施内容のすべてではございません。
スマートフォンアプリケーション診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※ 画像をクリックすると情報セキュリテイ基準審査登録制度サイトに遷移します。
情報セキュリティサービスマークについて
導入フロー
| 1 事前打ち合わせ |
|
|---|---|
| 2 診断実施 |
|
| 3 報告書作成 |
|
| 4 報告会実施 |
|
- ※サービス申込み時に機密保持契約を締結します。
- ※報告書提出から2週間、Q&A対応期間を設けています。
サンプル
導入価格
スマホアプリ動的画面数(※1)とWebアプリケーションの動的ページ数により異なります。
スマートフォンアプリケーション診断は端末環境とWebアプリケーション環境の両方の診断が含まれます。
但し、端末環境の診断が必要ない場合にも価格は同額となります。
- (※1)動的画面数とはWebアプリケーション環境へ通信した場合に生成される画面です。