スマートフォンアプリケーション診断
スマートフォンの普及に伴い、スマートフォンアプリケーションも増加の一方です。スマートフォンアプリケーションの脆弱性により利用者の個人情報が奪われたり、他者への攻撃の踏み台とされる危険性も出てきています。スマートフォンアプリケーション診断サービスでは、クライアントにインストールするアプリケーションのみならず、サーバの脆弱性などもトータルに診断します。
概要
スマートフォンは従来の携帯電話と比べ、よりオープンな環境になっています。
そのため、セキュリティの脅威も大きくなり、PCと同程度のセキュリティ対策が必要です。
スマートフォンアプリケーションサービスでは、
サーバ上のアプリケーションと、スマートフォンにインストールされたアプリケーションの両方の視点から脆弱性を確認するサービスです。
サービス内容
1.サーバ診断(プラットフォーム
Webアプリケーションが稼動するサーバにおける、ネットワークレベルから、OS、ミドルウェアレベルまでのリスクを確認します。
2.スマートフォンアプリケーション診断(サーバ側)
スマートフォンにインストールされたアプリケーションと、サーバ上のアプリケーションが連携されており、動的な機能(データの入力チェック処理やデータベースの更新処理など)を有している場合に、サーバ上のアプリケーションのリスクを確認します。
3.スマートフォンアプリケーション診断(クライアント側)
スマートフォンにインストールされたアプリケーションが個人情報などの重要情報を保持している場合の情報漏えいのリスク確認や、root権限の奪取/脱獄(Jailbreak)された場合のリスクを確認をします。
対象企業
- ダウンロードサービス経由で、スマートフォンアプリケーションをユーザに提供している場合
- 自社向けアプリケーションを開発し、運用している場合
診断項目
| 診断項目 | サーバー | Wアプリ | Wクラ | 観点 |
|---|---|---|---|---|
| サーバー環境の不備 | ● | ● | サーバーから意図しない情報が外部へ漏洩しないかを確認します。 | |
| 認証の不備 | ● | 不正なログインが可能か、認証の強度は十分かを確認します。 | ||
| エラー処理状況 | ● | ● | 攻撃のヒントとなるエラーが表示 | |
| セッション管理 | ● | ● | セッションの強度や有効範囲、危険などが適切かを確認します。 | |
| SQLインジェクション | ● | データベース不正操作の危険性を確認します。 | ||
| OSコマンドインジェクション | ● | 不正にOSコマンドが実行される危険性を確認します。 | ||
| サーバー既知の脆弱性 | ● | サーバープラットフォームに既知の脆弱性がないかを確認します。 | ||
| パーミッションの管理 | ● | 必要以上のパーミッションがないかを確認します。 | ||
| 連携機能の不備 | ● | クライアントアプリ間連携に重要情報漏えいの危険性がないかを確認します。 | ||
| サーバーへの情報送信 | ● | 利用者の同意を得ずにプライバシー情報を送信していないことを確認します。 | ||
| 通信路の問題 | ● | ● | 重要情報が暗号化されているか、中間者攻撃等が可能かを確認します。 | |
| 管理者権限の影響 | ● | Jailbreakやroot権限を取得した端末で悪用される危険性を確認します。 | ||
| 逆コンパイル耐性 | ● | 難読化など逆コンパイルに耐性があるかを確認します。 | ||
| データ取り扱い | ● | 重要情報がローカルファイルやSDカードに保存されていないかを確認します。 |
価格
個別見積りとなりますので、お問い合わせください。
その他のセキュリティ診断サービス
| サービス名 | 内容 | スケジュール | 価格 | |
|---|---|---|---|---|
| スマホゲーム向けチート診断サービス | 通常のユーザーとしてゲームをプレイしながら、チート行為によりアイテムの不正取得や、ゲームの不正施行を行い、脆弱性を発見するサービスです。 | 都度スケジュールを調整いたします。 | 個別見積 | 詳細はこちら |