MENU

 

セキュリティSOLUTION

スマートフォン
アプリケーション
脆弱性診断サービス

AndroidおよびiOS上で動作するアプリケーションを解析し、
アプリケーションの改ざんや情報漏えいの可能性を分析

  • 金融
  • エネルギー
  • 製造
  • 建設・不動産
  • 流通
  • 通信・サービス
  • 官公庁
  • 学校・教育
  • 社団法人・財団法人
  • セキュリティ
  • 脆弱性診断

セキュリティソリューションが
解決する課題

  • セキュリティ強化

ABOUT

さくら情報システムの「スマートフォンアプリケーション脆弱性診断サービス」は、
「情報セキュリティサービス基準」※に適合した、高品質の診断をご提供します。

※ 経済産業省によって策定された、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、
品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準です。

FEATURES

サーバ側アプリケーションに潜む脆弱性が分かります

スマートフォンによるWebサイトへのアクセスは、パソコンによるアクセスと同様に、通信内容の改ざんが可能です。
このため、Webアプリケーションと同様の被害が発生する危険性があります。

  • ツール診断と手動診断で脆弱性を見逃さない
  • 通信内容の改ざんのリスクを検出

端末側アプリケーションに潜む脆弱性が分かります

スマートフォンアプリに問題がある場合、端末に保存されたデータが漏えいしたりスマートフォンアプリが改ざんされるといった危険性があります。

  • スマートフォンアプリの操作・解析()により、情報漏えい、改ざんリスクを検出

※ アプリケーションの逆コンパイルによる解析はAndroidアプリのみ

脆弱性の改修方法を示します

報告書には検出された脆弱性の改修方法を表示しているため、セキュリティ知識がない場合でも対応が可能です。
脆弱性を検出した時の操作値も記載しているため、脆弱性が再現しないかどうか改修後に確認することもできます。

  • 脆弱性の改修方法をわかりやすくレポート&フォロー

FUNCTION

サーバ側アプリケーションに対する診断

・SQL Injection攻撃文字列の送信
・OS Command攻撃文字列の送信
・端末IDの改ざん など

スマートフォンアプリ(端末)に対する診断

・スマートフォン内に保存されたファイルの取得および取得したファイルの解析
・設定ファイル保存先の妥当性検証 など

検出可能な主な脆弱性

OWASP Top10に準拠した項目につき診断します。

※ OWASP - Open Web Application Security Project

スマートフォンアプリケーション向け診断項目

診断項目名
(OWASP Top 10 Mobile Risksとの対応)
診断概要 診断内容例
データ保管の危険性
(M1- Insecure Data Storage)
秘匿とすべき情報の保存方法が適切であるか、情報漏えいが発生しない構成であるかを評価します。
  • 使用するファイルの権限は適切設定されているか。
  • 秘匿とすべき情報が適切に保存されているか。
サーバ上の安全対策不備
(M2- Weak Server Side Controls)
PC向けWebアプリケーション脆弱性診断項目について評価します。
  • データベースに任意のコマンド実行可能な脆弱性が存在しないか、攻撃コードを送信することにより検証
トランスポートレイヤー保護の不備
(M3- Insufficient Transport Layer Protection)
通信時のSSL使用環境について評価します。
  • 秘匿とすべき情報の送信時には暗号化を行っているか。
  • SSL証明書の検証は正しく行っているか。
クライアント側でのインジェクション攻撃
(M4-Client Side Injection)
端末側アプリケーションに対するインジェクション攻撃が可能か、端末の機能を不正に利用することが可能であるか評価します。
  • 端末側データベースに対するインジェクション攻撃が発生しないか?
  • Javaメソッドやhttp以外のスキームの埋め込みが制限されているか。
認証や認可の問題
(M5- Poor Authorization and Authentication)
認証および認可処理が適切に実施されているか評価します。
  • 認証に端末固有のIDを用いていないか。
  • 認証情報は端末内に保存されていないか。
セッションの不適切な取り扱い
(M6-Improper Session Handling)
Webアプリケーション脆弱性診断項目に準じてセッション管理手法を評価します。
  • セッション管理識別子の強度が適切に設定されているか。
  • セッション管理に端末固有のIDを用いてないか。
信頼できない入力の取り扱い
(M7-Security Decisions Via Untrusted Inputs)
アプリケーションが外部から呼び出し可能なインタフェースの悪用可能性について評価します。
  • URLスキームによる呼び出し時の挙動確認
  • Intentによる呼び出し時の挙動確認
横道(副経路) からのデータ漏えい
(M8-Side Channel Data Leakage)
サードパーティアプリケーションを経由してログやキャッシュなどから秘匿とすべき情報が漏えいする作りとなっていないかを評価します。
  • 秘匿とすべき情報がキャッシュとして残存していないか。
  • 秘匿とすべき情報が端末ログに出力されてないか。
不適切な暗号化
(M9-Broken Cryptography)
暗号化された秘匿すべき情報が復号可能か、使用している暗号アルゴリズムに問題はないかを評価します。
  • 強度の弱い暗号アルゴリズムを使用していないか。
  • Base64等の復元が容易なアルゴリズムを使用して秘匿とすべき情報を保存していないか。
診断項目名
(OWASP Top 10 Mobile Risksとの対応)
診断概要 診断内容例
Androidアプリケーション限定の診断項目
(リバースエンジニアリングによる)
秘匿とすべき情報の漏えい
(M10-Sensitive Information Disclosure)
秘匿とすべき情報がハードコードされていないか確認します。
  • 秘匿とすべき情報(パスワード、キー、URLなど)がハードコードされていないか。
過剰なパーミッションの付与(‐) インストール時に過剰なパーミッションの要求がないか確認します。
  • パーミッションが適切に設定されているか。

PLAN

PERFORMANCE

  • 診断実績

    50アプリ・2,600画面以上

    あらゆる業種にて診断実施サービスを提供しております

導入業種実績

  • 金融
  • エネルギー
  • 製造
  • 建設・不動産
  • 流通
  • 通信・サービス
  • 学校・教育
  • 官公庁
  • 社団法人・
    財団法人

CASE STUDY

FAQ

導入時のよくあるご質問

    利用者向けよくあるご質問

      EVENT・SEMINAR

      ソリューションについて
      詳しく

      お電話でのお問い合わせ

      03-6757-7211 受付時間 9:00~17:30(土日祝日を除く)

      お電話でのお問い合わせ

      03-6757-7211 受付時間 9:00~17:30(土日祝日を除く)