昨今、スマートフォンアプリからの個人情報漏洩や不正利用といったセキュリティインシデントが増加しています。

こうした中、従来から注目されていたWebアプリケーション診断に限らず、スマートフォンアプリに対する脆弱性診断の需要も高まっています。

端末自体に重要情報が蓄積される特性もあることから、安全なサービスの運用には欠かせないスマートフォンアプリ診断。今回はクラフが提供するサービスの概要や特長をお伝えします。

スマートフォンアプリケーション診断とは

AndroidやiOSのアプリケーションを専門家が分析

スマートフォンアプリケーション診断は、AndroidやiOSといったスマートフォンのアプリケーションを分析し、脆弱性を検出・報告するサービスです。動的解析と静的解析を組み合わせて行います。

動的解析では、アプリ内の機能を一通り操作し、アプリとサーバー間の通信内容の検査、および端末内のデータストレージや出力ログに関する検査を行います。

静的解析では、診断対象のアプリにリバースエンジニアリングをおこない、ソースコードやリソースファイルなどを検査します。

この二つの手法を組み合わせた多角的なアプローチには、高度な専門知識が求められます。当社では、スマートフォンアプリのセキュリティ構造を熟知した専門のエンジニアが診断を実施します。

クラフのスマートフォンアプリ診断の強み

１．モバイルアプリケーションセキュリティの業界標準項目（MASVS）に基づいた網羅的な診断

当社では、モバイルアプリケーションセキュリティの業界標準であるMASVSに基づいた診断を行っており、加えてモバイルアプリケーションの開発者やセキュリティ担当者がアプリの安全性を確保するための重要な指針となる、最も重大なセキュリティリスクを特定し、ランク付けしたOWASP Mobile TOP 10を網羅しています。

機微情報や個人情報が他アプリからアクセス可能な領域へ保存されていないか、TLSや証明書により通信が保護されているかといった基本的な項目はもちろん、国際基準で定められた診断項目が網羅されており、品質の面でも好評いただいています。

スマートフォンアプリを熟知したセキュリティエンジニアが診断することで、「不十分なサーバ証明書やホスト名の検証」、「カスタムURLスキームのアクセス制限」、

「機微情報の漏洩」といったツール診断だけでは発見が困難な脆弱性も検出することが可能です。

発見された脆弱性は、CVSS（共通脆弱性評価システム）に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告します。

CVSSを用いたリスク評価は、脆弱性対応の優先順位付けや組織内における脆弱性対応の基準策定にもお役立ていただけます。

２．標準化により低価格・短納期を実現

当社では、セキュリティ業界で長くキャリアを築いてきた経験豊富なホワイトハッカーのスキル・ノウハウを業界内でいち早く標準化。

ツールに頼らない手動診断でありながら、診断プロセスにおいて可能な限り属人化を排除し、効率化を実現しました。

これにより、網羅的で高品質な診断を低価格・短納期で提供することに成功しました。

標準化・仕組み化により脆弱性診断の結果＝品質にブレがないことも、お客様から好評いただいています。

【料金プラン】￥300,000～

プラン名	特徴	対象例
プラチナ	・高度な攻撃を想定して診断したい ・お客様個別の検査観点	・ソーシャルゲーム ・高度な攻撃が想定されるアプリ
ゴールド　※人気プラン	・網羅性高く脆弱性を洗い出したい ・OWASP MASVS（モバイルアプリケーションセキュリティ検証基準）L1 に基づく診断(48項目)	・SNSアプリ ・端末内に個人情報を保持するアプリ
シルバー	・緊急度の高い脆弱性を洗い出したい ・OWASP Mobile Top 10に基づく診断(30項目)	・検索アプリ ・端末内に個人情報を保持しないアプリ
ブロンズ	・コストを抑えて診断したい ・OWASP Mobile Top 10から重要なM1, M2, M3を診断(12項目)	・ニュースアプリ ・WebViewのみを使ったアプリ

お気軽にお問い合わせを

クラフでは、脆弱性診断をはじめ、セキュリティ監視など総合的なセキュリティサービスを提供しています。セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご連絡くださいませ。