サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

RELEASE
スマートフォンアプリケーションアイコン
スマートフォンアプリケーションアイコン

スマートフォン
アプリケーション診断

スマートフォンアプリケーションに潜在する
脆弱性を検出し、対策方法を提案します

サービス概要

AndroidやiOSのアプリケーションを分析し、脆弱性を検出・報告します。分析はアプリケーションを実際に動作させて行う動的検査と、リバースエンジニアリングによる静的検査を組み合わせて行います。

  • インプット

    インプット

    APKファイル (Android)
    IPAファイル (iOS)
  • 診断

    診断

    国際標準に基づいた診断
    (MASVS)
  • アウトプット

    アウトプット

    スマートフォンアプリケーションの
    脆弱性と改善提案

主な診断項目

  • MASVS・OWASP Mobile TOP 10 など

    機微情報・個人情報が他アプリからアクセス可能な領域へ保存されていないかや、TLSや証明書により通信が保護されているかはもちろん、国際基準で定められた全スマートフォンアプリケーションで確認すべき診断項目が網羅されています。

  • OS提供機能の設定確認

    OSが提供する機能が適切に設定されていないと、機密情報の漏洩につながりかねません。OSが提供する暗号化機能が適切に利用されているか、また、アプリケーションの連携機能に不適切な機微情報が扱われていないか診断します。

  • リバースエンジニアリングの耐性確認

    アプリケーション自体が解析された場合に、セキュリティリスクが顕在化してしまう場合があります。Jailbreakやroot化された端末での実行防止や、証明書によるパッケージの保護などにより、リバースエンジニアリングに耐性があるか診断します。

\無料ダウンロード資料公開中/
OWASP TOP10 2021の重要ポイントを2017と比較解説!

インシデント事例からみるクラウドセキュリティへの取り組み

【目次】

はじめに

2021年9月24日リリース『OWASP TOP10 2021』
OWASP TOP10とは

3つの観点からみるTOP10の変更点

カテゴリの変化/順位の変動/記載方法の変更

各項目の変更点を詳しく解説

2021_1位 アクセス制御の不備
2021_2位 暗号化の失敗

SHIFT SECURITYの特徴

  • 01

    高品質・低価格・短納期
    脆弱性診断を提供

    従来の脆弱性診断では、特殊なスキルを持ったホワイトハッカーによる属人性の高い診断が多く、担当者が変わると「結果に差異がある」「網羅性が見えない」など、診断品質がバラつく問題がありました。当社のWebアプリケーション診断は、標準化で属人性を排除し、安定して高品質を実現します。さらに、仕組化された診断プロセスで、低コストと短納期を実現します。

  • 02

    ツールに頼らない手動診断で
    発見困難な脆弱性を検出

    診断エンジニアによる手動診断で、「アクセス制御の回避」、「権限外のリソースへのアクセス・情報の更新」、「機密情報の暴露・入手」といったツール診断では発見が困難な脆弱性を検出します。また、各種インジェクション系に代表される緊急度の高い脆弱性を検出した場合は、実際に情報の入手や不正な操作が可能であるかどうかを試行し、その結果を報告します。

  • 03

    CVSS(※)に基づいて
    リスク評価を客観的に可視化

    診断で発見された脆弱性は、脆弱性リスク評価の共通言語ともいえる「共通脆弱性評価システムCVSS」に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告します。脆弱性のリスク評価を第三者機関として客観的に可視化することで、妥当性の高い脆弱性対応の優先順位付けや、組織内における脆弱性対応の基準策定を支援します。

    ※CVSS:共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会 (NIAC: National Infrastructure Advisory Council) のプロジェクトで 2004年10月に原案が作成されました。
  • 総評

    評点・要素別評価・コメント付

    総評
  • 検査項目一覧

    観点・検査数・深刻度別脆弱性数を提示

    検査項目一覧
  • 脆弱性詳細

    対象画面・想定脅威・対策・再現方法

    総評

料金プラン

スマートフォンアプリケーションアイコン スマートフォン
アプリケーション
診断
  • スマートフォンアプリケーションアイコン スマートフォン
    アプリケーション
    診断
    300,000
  • ブロンズ

    とにかくコストを抑えて
    診断をしたい

    MASVS重要観点
    9項目

    • ニュースアプリ
    • WebViewのみを使ったアプリ
  • シルバー

    緊急度の高い脆弱性を
    洗い出したい

    OWASP Mobile TOP10
    iOS:21項目
    Android:30項目

    • 検索アプリ
    • 端末内に個人情報を保持しないアプリ
  • 人気プラン
    ゴールド

    網羅性高く脆弱性を
    洗い出したい

    MASVS
    iOS:33項目
    Android:52項目

    • SNSアプリ
    • 端末内に個人情報を保持するアプリ
  • プラチナ

    高度な攻撃を想定して
    診断をしたい

    お客様個別の検査観点
    による診断

    • ソーシャルゲーム
    • 高度なチート攻撃が想定されるアプリ

OWASP Top 10:最も重大なウェブアプリケーションリスクトップ10
ASVS(Application Security Verification Standard):アプリケーションセキュリティ検証標準

\ お気軽にご相談ください。 /

お客様の目的別に最適な脆弱性診断をご提案いたします。

診断スケジュール例

お客様のスケジュールに合わせた
診断に対応

高品質でスピーディー、診断翌日にレポート納品
診断スケジュール例
スワイプアイコン 左右にスワイプ

サービスに関する
お問い合わせ