MENU

 
経営管理トップ

ソリューション導入をご検討の方

アップグレードや運用・保守をご検討の方

経理・財務トップ
人事・給与トップ
セキュリティトップ
BPOトップ
ITインフラトップ

国内向けソリューションをご検討の方

東南アジア拠点向けソリューションをご検討の方

業務支援トップ
金融トップ

S-COART
スマートフォンアプリケーション
脆弱性診断サービス

スマートフォンアプリに潜む脆弱性を検出し、対応方法を含めて報告します

  • 金融
  • エネルギー
  • 製造
  • 建設・不動産
  • 流通
  • 通信・サービス
  • 官公庁
  • 学校・教育
  • 社団法人・財団法人
  • セキュリティ
  • 脆弱性診断
  • ソリューションについて
  • 主なサービス機能
  • 導入実績・事例紹介
  • よくあるご質問
  • イベント・セミナー情報

セキュリティソリューションが
解決する課題

  • セキュリティ強化

ABOUT

さくら情報システムの「スマートフォンアプリケーション脆弱性診断サービス」は、
「情報セキュリティサービス基準」※に適合した、高品質の診断をご提供します。

※ 経済産業省によって策定された、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、
品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準です。

FEATURES

サーバ側アプリケーションに潜む脆弱性が分かります

スマートフォンによるWebサイトへのアクセスは、パソコンによるアクセスと同様に、通信内容の改ざんが可能です。
このため、Webアプリケーションと同様の被害が発生する危険性があります。

  • ツール診断と手動診断で脆弱性を見逃さない
  • 通信内容の改ざんのリスクを検出

端末側アプリケーションに潜む脆弱性が分かります

スマートフォンアプリに問題がある場合、端末に保存されたデータが漏えいしたりスマートフォンアプリが改ざんされるといった危険性があります。

  • スマートフォンアプリの操作・解析()により、情報漏えい、改ざんリスクを検出

※ アプリケーションの逆コンパイルによる解析はAndroidアプリのみ

脆弱性の改修方法を示します

報告書には検出された脆弱性の改修方法を表示しているため、セキュリティ知識がない場合でも対応が可能です。
脆弱性を検出した時の操作値も記載しているため、脆弱性が再現しないかどうか改修後に確認することもできます。

  • 脆弱性の改修方法をわかりやすくレポート&フォロー

お客様の環境に合わせたさまざまな課題を伴走支援

S-COARTのロゴ

S-COARTのロゴ

FUNCTION

サーバ側アプリケーションに対する診断

・SQL Injection攻撃文字列の送信
・OS Command攻撃文字列の送信
・端末IDの改ざん など

スマートフォンアプリ(端末)に対する診断

・スマートフォン内に保存されたファイルの取得および取得したファイルの解析
・設定ファイル保存先の妥当性検証 など

検出可能な主な脆弱性

OWASP Mobile Top 10に基づき、代表的なセキュリティリスクについて診断します。

※ OWASP - Open Web Application Security Project

スマートフォンアプリケーション向け診断項目

診断項目名診断概要診断内容例
データ保管の危険性 端末内に保存される認証情報や個人情報などの重要情報が、適切な方法で保存されているかを確認します。
  • 使用するファイルの権限は適切に設定されているか。
  • 秘匿とすべき情報が適切に保存されているか。
サーバ上の安全対策不備 スマートフォンアプリケーションが連携するサーバ側アプリケーション(Webサービス/API)に対し、代表的な脆弱性が存在するかを確認します。
  • サーバ側アプリケーションに入力値の検証不備がないか。
トランスポートレイヤー保護の不備 スマートフォンアプリケーションとサーバ間の通信が適切に保護されているか、証明書の検証が行われているかを確認します。
  • 秘匿とすべき情報の送信時には暗号化を行っているか。
  • SSL証明書の検証は正しく行っているか。
クライアント側でのインジェクション攻撃 スマートフォンアプリケーションに対し、不正な入力値や不正な呼び出しを与えた場合に、想定外の動作が発生しないかを確認します。
  • 不正な値やデータを与えた際に、想定外の動作が起きないか。
  • WebView 等において、スクリプトや危険なコンテンツの実行が適切に制限されているか。
認証や認可の問題 認証および認可処理が適切に実施されているかを確認します。
  • 認証に端末固有のIDを用いていないか。
  • 認証情報は端末内に保存されていないか。
セッションの不適切な取り扱い 認証後の状態管理が適切に行われているかを確認します。
  • セッション管理識別子の強度が適切に設定されているか。
  • セッション管理に端末固有のIDを用いてないか。
信頼できない入力の取り扱い スマートフォンアプリケーションが外部から受け取る信頼できない入力をもとに、重要な動作を行っていないかを確認します。
  • 外部からの呼び出し時に与えられる入力値により、意図しない機能の実行や画面遷移が起きないか。
  • URLスキームやIntent等による呼び出し時に、利用可能な機能が適切に制限されているか。
横道(副経路) からのデータ漏えい サードパーティアプリケーションを経由し、ログやキャッシュなどから秘匿とすべき情報が漏えいしない設計となっているかを確認します。
  • 秘匿とすべき情報がキャッシュとして残存していないか。
  • 秘匿とすべき情報が端末ログに出力されてないか。
不適切な暗号化 秘匿すべき情報が適切に暗号化されているか、容易に復号可能な方法が使用されていないかを確認します。
  • 強度の弱い暗号アルゴリズムを使用していないか。
  • Base64等の復元が容易なアルゴリズムを使用して秘匿とすべき情報を保存していないか。
診断項目名診断概要診断内容例
Androidアプリケーション限定の診断項目
(リバースエンジニアリングによる)
秘匿とすべき情報の漏えい		 秘匿とすべき情報がハードコードされていないか確認します。
  • 秘匿とすべき情報(パスワード、キー、URLなど)がハードコードされていないか。
過剰なパーミッションの付与 インストール時に過剰なパーミッションの要求がないか確認します。
  • パーミッションが適切に設定されているか。

PLAN

PERFORMANCE

  • 診断実績

    90アプリ・4,900画面以上

    あらゆる業種にて診断実施サービスを提供しております

導入業種実績

  • 金融
  • エネルギー
  • 製造
  • 建設・不動産
  • 流通
  • 通信・サービス
  • 学校・教育
  • 官公庁
  • 社団法人・
    財団法人

CASE STUDY

FAQ

以下のサービスを利用されている企業の従業員の方からのお問合せには、当社ではご回答いたしかねます。ご自身のお勤め先から指定された問合せ先にご連絡ください。
 ・XOLOGY年末調整、年末調整Web申告
 ・XOLOGY給与明細、HRA給与明細照会サービス

導入時のよくあるご質問

    利用者向けよくあるご質問

      EVENT・SEMINAR

       
      前へ
      次へ
       

      関連リンク

      S-COART:セキュリティ、基幹システムでお困り事はお気軽にご相談ください。

      スマートフォンアプリケーション
      脆弱性診断サービスについて詳しく

      比較検討や社内説明に役立つ
      資料をご用意しております。

      資料請求

      導入前のご質問・ご相談など、
      お気軽にお問い合わせください。

      お問い合わせ

      RECOMMEND

      Webアプリケーション脆弱性診断サービス

      Webアプリケーションに潜む脆弱性を検出し、対応方法を含めて報告します

      詳細を見る

      ネットワーク脆弱性診断サービス

      情報システムやネットワークに関する脆弱性の有無や設定を診断し、
      改修方法と共にご報告

      詳細を見る

      比較検討や社内説明に役立つ
      資料をご用意しております。

      資料請求

      導入前のご質問・ご相談など、
      お気軽にお問い合わせください。

      お問い合わせ