モバイルアプリ診断は、銀行のバンキングアプリからヘルスケアアプリ、LINE等のビジネスアプリまで様々な診断を日常的に実施しております。
リリース前のお急ぎの企業様、これまでAPI診断をしたことがないといったお客様に是非ともお薦めしたいサービスです。
モバイルアプリケーション向けセキュリティ診断とは
以下の規格に準拠したサービスを提供いたします
- ・ OWASP モバイルセキュリティテストガイド(MSTG) – 最新版
- ・ OSSTMM
- ・ NIST SP800-115 情報セキュリティ検査技術基準
- ・ NIST SP800-163 サードパーティ APP テスト技術仕様書
独自AIツールにより、一般的なモバイルアプリ向け診断ツールやコード解析ツールでは検出できない以下のような脆弱性を高速に診断を実現します
- ・ パッカーなどで難読化されたプログラムに対しても動的なリバースエンジニアリングによる検出が可能
悪意のあるライブラリなどの埋め込みや、頻繁に更新される悪意あるコード・ファイルも効果的に検出 - ・ 埋め込まれた通信先情報のレピュテーションを自社が管理する最新情報に基づいて実施
特に日本で多くみられる中国・ロシア系の攻撃者情報に強みがあります
モバイルアプリ診断サービス
モバイルアプリ診断 — 高頻度向け高速診断
- 脆弱性検出件数や頻度が多い、モバイルアプリ単体を高速に診断
- 高頻度で更新されるアプリ側のセキュリティを担保できます
- 独自AIツールにより、コード解析だけでは発見できない脆弱性だけでなく、疑わしいサイトやシステムとの通信の可能性も検出します
- 診断期間は超短期間(最短で3日)
- 再診断は別途有償となります(150,000円)
API診断オプション — 定期診断・メジャー更新時向けオプション
- モバイルアプリ+サーバ側APIを含めた脆弱性や侵入の可能性を網羅的に診断
- 独自AIツールを駆使した手動診断で耐性検証を実施
- 診断期間は3〜5営業日と短期間
- 充実したアフターサポートとして、API診断部分は実施後3か月以内であれば再診断を1回ご提供
モバイルアプリ向けセキュリティ診断メニュー
モバイルアプリ診断
API診断オプション
モバイルアプリ向けペネトレーションテスト
診断対象
モバイルアプリパッケージ単体(iOS, Android)
モバイルアプリ接続先APIサーバー
モバイルアプリパッケージ(iOS, Android)、
モバイルアプリ接続先サーバー/システム
モバイルアプリ接続先サーバー/システム
診断基準
OWASP Top10 Mobile Risks(サーバー側が関連するM3を除く)
OWASP Top10 Mobile Risks
OWASP Top10 Mobile Risks、OSSTMM、PCI DSS外部ペネトレーションテスト 等(応相談)
特徴
モバイルアプリパッケージ単体の高速ツール診断
サーバーへの接続は一切不要です
サーバーへの接続は一切不要です
モバイルアプリが利用するサーバー側APIへの
網羅的な脆弱性診断(再診断付き)
網羅的な脆弱性診断(再診断付き)
モバイルアプリならびに接続先システムを含めた
網羅的な脆弱性診断とペネトレーションテストを実施
網羅的な脆弱性診断とペネトレーションテストを実施
診断手法
弊社独自ツールによる自動診断(パッケージをご提供いただき診断)
セキュリティエンジニアによる AIツール + 手動リモート診断
セキュリティエンジニアによる AIツール + 手動リモート診断
課金体系(参考価格)
アプリケーションパッケージ単位の定額料金
48万円〜
48万円〜
基本料金 + API数
21.98万円〜
21.98万円〜
アプリ/サブドメイン/FQDN/ホスト単位の定額料金
(Web以外のペネトレーションテストではIP等ホスト単位で課金)
88.2万円〜(個別ご相談)
(Web以外のペネトレーションテストではIP等ホスト単位で課金)
88.2万円〜(個別ご相談)
診断期間(目安)
標準5日間〜
3〜5日間
1〜3週間
報告形式
セキュリティエンジニアによる
レビュー済み報告書 + 報告会(ご要望の場合)
レビュー済み報告書 + 報告会(ご要望の場合)
セキュリティエンジニアによる
レビュー済み報告書
レビュー済み報告書
レビュー済み報告書 + 報告会(ご要望の場合)
報告書ご提供納期(目安)
標準5営業日
7営業日
10〜15営業日
モバイルアプリ診断
- 診断対象
- モバイルアプリパッケージ単体(iOS, Android)
- 診断基準
- OWASP Top10 Mobile Risks(サーバー側が関連するM3を除く)
- 特徴
- モバイルアプリパッケージ単体の高速ツール診断。サーバーへの接続は一切不要です。
- 診断手法
- 弊社独自ツールによる自動診断(パッケージをご提供いただき診断)
- 課金体系(参考価格)
- アプリケーションパッケージ単位の定額料金/48万円〜
- 診断期間(目安)
- 標準5日間〜
- 報告形式
- レビュー済み報告書 + 報告会(ご要望の場合)
- 報告書ご提供納期(目安)
- 標準5営業日
API診断オプション
- 診断対象
- モバイルアプリ接続先APIサーバー
- 診断基準
- OWASP Top10 Mobile Risks
- 特徴
- サーバー側APIへの網羅的な脆弱性診断(再診断付き)
- 診断手法
- セキュリティエンジニアによる AIツール + 手動リモート診断
- 課金体系(参考価格)
- 基本料金 + API数/21.98万円〜
- 診断期間(目安)
- 3〜5日間
- 報告形式
- レビュー済み報告書
- 報告書ご提供納期(目安)
- 7営業日
モバイルアプリ向けペネトレーションテスト
- 診断対象
- モバイルアプリパッケージ、接続先サーバー/システム
- 診断基準
- OWASP Top10 Mobile Risks、OSSTMM、PCI DSS外部ペンテスト 等(応相談)
- 特徴
- アプリと接続先システムを含めた網羅的診断+ペンテストを実施
- 診断手法
- セキュリティエンジニアによる AIツール + 手動リモート診断
- 課金体系(参考価格)
- アプリ/サブドメイン/FQDN/ホスト単位の定額料金
(Web以外のペンテストではIP等ホスト単位で課金)
88.2万円〜(個別ご相談) - 診断期間(目安)
- 1〜3週間
- 報告形式
- レビュー済み報告書 + 報告会(ご要望の場合)
- 報告書ご提供納期(目安)
- 10〜15営業日
※ペネトレーションテストはお客様環境の回線速度、規模、実施可能時間などの制約事項・条件により期間などは変動いたします。詳細はご相談ください。
※記載されている価格は参考価格です。弊社サービスはオープン価格となります。正式なサービス費用はお見積りをご依頼ください。
モバイルアプリ診断 価格表
サービス名 | 説明 | 1 OSのみ (iOSまたはAndroid) |
2 OSセット (iOSならびにAndroid) |
再診断 (1OS、1回あたり) |
---|---|---|---|---|
モバイルアプリ診断 (小規模向け) |
15画面以内の小規模アプリ向け限定パッケージ | 480,000円 / アプリ |
912,000円 / アプリ |
150,000円 / アプリ |
モバイルアプリ診断 | 標準パッケージ(画面数制限無し) | 780,000円 / アプリ |
1,482,000円 / アプリ |
モバイルアプリ診断(小規模向け)
説明
15画面以内の小規模アプリ向け限定パッケージ
1 OSのみ
480,000円/アプリ
2 OSセット
912,000円/アプリ
再診断
150,000円/アプリ
モバイルアプリ診断
説明
標準パッケージ(画面数制限無し)
1 OSのみ
780,000円/アプリ
2 OSセット
1,482,000円/アプリ
再診断
150,000円/アプリ
説明 | 参考価格(税抜) | |
---|---|---|
API診断基本料金 | 診断基本料金 | 200,000円 (標準付属) |
API診断オプション | 1 APIエンドポイントの診断料金 | 19,800円/APIメソッド |
API診断基本料金
説明
診断基本料金
参考価格
200,000円
(標準付属)
(標準付属)
API診断オプション
説明
1 APIエンドポイントの診断料金
参考価格
19,800円/APIメソッド
※2OSセットは、1種のモバイルアプリケーションについて、iOSとAndroidの両パッケージに対する診断を同時ご発注いただく場合のセットモデルとなります。
モバイルアプリ診断メニュー
モバイルアプリ診断のカバー範囲
モバイルアプリ診断単体では、通常、サーバー側の挙動と連動が通常必須となるM3を除く、モバイルアプリケーション単体のセキュリティリスクを診断します。
M3については、API診断オプションにてサーバー側の診断とともに提供いたします。
M5/M9/M10についてはサーバー側での考慮事項があるため、同時診断を推奨します。
OWASP Mobile Top 10 2024 | (日本語抄訳) | モバイルアプリ診断 | API診断オプション |
---|---|---|---|
M1: Improper Credential Usage | 不適切なクレデンシャルの使用 | ✓ | (✓) |
M2: Inadequate Supply Chain Security | 不十分なサプライチェーンセキュリティ | ✓ | |
M3: Insecure Authentication/Authorization | 安全でない認証・認可 | (✓)* | ✓ |
M4: Insufficient Input/Output Validation | 不十分な入出力検証 | ✓ | (✓) |
M5: Insecure Communication | 安全でない通信 | ✓ | ✓ |
M6: Inadequate Privacy Controls | 不十分なプライバシーコントロール | ✓ | (✓) |
M7: Insufficient Binary Protections | 不十分なバイナリ保護 | ✓ | |
M8: Security Misconfiguration | セキュリティの設定ミス | ✓ | (✓) |
M9: Insecure Data Storage | 安全でないデータ保存 | ✓ | ✓ |
M10: Insufficient Cryptography | 不十分な暗号化 | ✓ | ✓ |
M1: Improper Credential Usage
日本語
不適切なクレデンシャルの使用
モバイル
✓
API
(✓)
M2: Inadequate Supply Chain Security
日本語
不十分なサプライチェーンセキュリティ
モバイル
✓
API
M3: Insecure Authentication/Authorization
日本語
安全でない認証・認可
モバイル
(✓)*
API
✓
M4: Insufficient Input/Output Validation
日本語
不十分な入出力検証
モバイル
✓
API
(✓)
M5: Insecure Communication
日本語
安全でない通信
モバイル
✓
API
✓
M6: Inadequate Privacy Controls
日本語
不十分なプライバシーコントロール
モバイル
✓
API
(✓)
M7: Insufficient Binary Protections
日本語
不十分なバイナリ保護
モバイル
✓
API
M8: Security Misconfiguration
日本語
セキュリティの設定ミス
モバイル
✓
API
(✓)
M9: Insecure Data Storage
日本語
安全でないデータ保存
モバイル
✓
API
✓
M10: Insufficient Cryptography
日本語
不十分な暗号化
モバイル
✓
API
✓
*モバイルアプリ内で独自の認証ロジックを実装しており、サーバー側との通信による制御がない場合のみカバーされます。
モバイルアプリ診断の診断内容
診断項目
診断内容
権限とマニフェスト分析
攻撃者が特権昇格したり、アプリケーション内部のデータを変更したりすることを可能にする権限の問題があるかどうかをスキャンします。また、アプリケーションが過剰に不合理な権限を要求しているかどうかもスキャンします。
さらに、他の悪意のあるアプリケーションがテスト対象のアプリケーションにフックして感染し、データ漏洩やアプリケーションの侵害を引き起こす可能性があるかどうかもスキャンします。
さらに、他の悪意のあるアプリケーションがテスト対象のアプリケーションにフックして感染し、データ漏洩やアプリケーションの侵害を引き起こす可能性があるかどうかもスキャンします。
バイナリとコードの分析
コードをデコンパイルし、アプリケーション内部の脆弱性をスキャンします。
SQLインジェクション、ハードコードされたパスワード、ストレージの安全でない使用方法、ロジックフロー、JailBreakやルート検出などの問題を探索し、アプリケーションの侵害を引き起こす可能性のある多数のベクトルを検査します。
SQLインジェクション、ハードコードされたパスワード、ストレージの安全でない使用方法、ロジックフロー、JailBreakやルート検出などの問題を探索し、アプリケーションの侵害を引き起こす可能性のある多数のベクトルを検査します。
ネットワーク通信診断
アプリケーション内部で通信されるドメイン名やIPアドレスを探します。
ドメイン名やIPアドレスの中には、侵害されたり、誤って指定されたり、悪者によって注入されたりするものがあります。当社のスキャナは、各通信先を自動的にチェックします。既知の問題と一致するマルウェアとC&Cサーバの識別も実施されます。
ドメイン名やIPアドレスの中には、侵害されたり、誤って指定されたり、悪者によって注入されたりするものがあります。当社のスキャナは、各通信先を自動的にチェックします。既知の問題と一致するマルウェアとC&Cサーバの識別も実施されます。
証明書の警告
証明書が有効かの確認のほか、隠し証明書がないか、また、中間者攻撃防止のために証明書のピン止めがされているかをスキャンします。多くのアプリケーションでは証明書のチェックを適切に実施できていないことで中間者攻撃につながり、データ漏洩の原因となります。
ファイル解析
アプリケーションの実行中に、何らかの動作を達成するため、ファイルが読み込まれたり、書き込まれたり、実行されることがあります。当社のスキャナは、攻撃者がファイルを利用してアプリケーションのセキュリティ問題を引き起こす可能性があるかどうかをチェックします。例えば、機密情報がファイル内に保存されているかどうか、攻撃者がファイルを変更してロジックフローを変更する可能性があるかどうかなどをチェックします。
コンポーネントの列挙
アプリケーションで使用されているコンポーネントをチェックします。
コンポーネントの中で、脆弱性が含まれていたり、古くなっているものを指摘します。
コンポーネントの中で、脆弱性が含まれていたり、古くなっているものを指摘します。
モバイルアプリ診断 サービスご提供フロー
