セキュリティソリューションが
解決する課題
セキュリティ強化
ABOUT
スマートフォンアプリケーションに潜む脆弱性を見つけ出します
さくら情報システムの「スマートフォンアプリケーション脆弱性診断サービス」は、
「情報セキュリティサービス基準」※に適合した、高品質の診断をご提供します。
※ 経済産業省によって策定された、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、
品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準です。
FEATURES
スマートフォンアプリケーション診断サービスの3つの特長
サーバ側アプリケーションに潜む脆弱性が分かります
スマートフォンによるWebサイトへのアクセスは、パソコンによるアクセスと同様に、通信内容の改ざんが可能です。
このため、Webアプリケーションと同様の被害が発生する危険性があります。
- ツール診断と手動診断で脆弱性を見逃さない
- 通信内容の改ざんのリスクを検出
端末側アプリケーションに潜む脆弱性が分かります
スマートフォンアプリに問題がある場合、端末に保存されたデータが漏えいしたりスマートフォンアプリが改ざんされるといった危険性があります。
- スマートフォンアプリの操作・解析(※)により、情報漏えい、改ざんリスクを検出
※ アプリケーションの逆コンパイルによる解析はAndroidアプリのみ
脆弱性の改修方法を示します
報告書には検出された脆弱性の改修方法を表示しているため、セキュリティ知識がない場合でも対応が可能です。
脆弱性を検出した時の操作値も記載しているため、脆弱性が再現しないかどうか改修後に確認することもできます。
- 脆弱性の改修方法をわかりやすくレポート&フォロー
FUNCTION
スマートフォンアプリケーション脆弱性診断サービスの主なメニュー
サーバ側アプリケーションに対する診断
・SQL Injection攻撃文字列の送信
・OS Command攻撃文字列の送信
・端末IDの改ざん など
スマートフォンアプリ(端末)に対する診断
・スマートフォン内に保存されたファイルの取得および取得したファイルの解析
・設定ファイル保存先の妥当性検証 など
検出可能な主な脆弱性
OWASP Top10に準拠した項目につき診断します。
※ OWASP - Open Web Application Security Project
スマートフォンアプリケーション向け診断項目
診断項目名 (OWASP Top 10 Mobile Risksとの対応) |
診断概要 | 診断内容例 |
---|---|---|
データ保管の危険性 (M1- Insecure Data Storage) |
秘匿とすべき情報の保存方法が適切であるか、情報漏えいが発生しない構成であるかを評価します。 |
|
サーバ上の安全対策不備 (M2- Weak Server Side Controls) |
PC向けWebアプリケーション脆弱性診断項目について評価します。 |
|
トランスポートレイヤー保護の不備 (M3- Insufficient Transport Layer Protection) |
通信時のSSL使用環境について評価します。 |
|
クライアント側でのインジェクション攻撃 (M4-Client Side Injection) |
端末側アプリケーションに対するインジェクション攻撃が可能か、端末の機能を不正に利用することが可能であるか評価します。 |
|
認証や認可の問題 (M5- Poor Authorization and Authentication) |
認証および認可処理が適切に実施されているか評価します。 |
|
セッションの不適切な取り扱い (M6-Improper Session Handling) |
Webアプリケーション脆弱性診断項目に準じてセッション管理手法を評価します。 |
|
信頼できない入力の取り扱い (M7-Security Decisions Via Untrusted Inputs) |
アプリケーションが外部から呼び出し可能なインタフェースの悪用可能性について評価します。 |
|
横道(副経路) からのデータ漏えい (M8-Side Channel Data Leakage) |
サードパーティアプリケーションを経由してログやキャッシュなどから秘匿とすべき情報が漏えいする作りとなっていないかを評価します。 |
|
不適切な暗号化 (M9-Broken Cryptography) |
暗号化された秘匿すべき情報が復号可能か、使用している暗号アルゴリズムに問題はないかを評価します。 |
|
診断項目名 (OWASP Top 10 Mobile Risksとの対応) |
診断概要 | 診断内容例 |
---|---|---|
Androidアプリケーション限定の診断項目 | ||
(リバースエンジニアリングによる) 秘匿とすべき情報の漏えい (M10-Sensitive Information Disclosure) |
秘匿とすべき情報がハードコードされていないか確認します。 |
|
過剰なパーミッションの付与(‐) | インストール時に過剰なパーミッションの要求がないか確認します。 |
|
PLAN
料金プラン
PERFORMANCE
導入実績
-
診断実績
90アプリ・4,900画面以上
あらゆる業種にて診断実施サービスを提供しております
導入業種実績
- 金融
- エネルギー
- 製造
- 建設・不動産
- 流通
- 通信・サービス
- 学校・教育
- 官公庁
-
社団法人・
財団法人
CASE STUDY
事例紹介
FAQ
よくあるご質問
以下のサービスを利用されている企業の従業員の方からのお問合せには、当社ではご回答いたしかねます。ご自身のお勤め先から指定された問合せ先にご連絡ください。
・年末調整Web申告
・HRA給与明細照会サービス
導入時のよくあるご質問
利用者向けよくあるご質問
EVENT・SEMINAR