プレミアムプラン診断メニュー

スマホアプリケーション診断

iOS/Androidネイティプアプリ及びAPIの脆弱性をツール及び手動で検査します。
ネイティブアプリ特有のセキュリティ対策が適切かどうかを診断します。

診断項目

Data Storage and Privacy
Secure Storage
ユーザ資格情報や暗号鍵のような機密情報が適切に保存されているか確認します。
Information Exposure
パスワードやピンなどの機密情報がバックアップやログなどに書き出されていないか確認します。
Cryptography
Device Encryption
ハードコードされた鍵を利用した対称暗号など推奨されない実装がないか確認します。
Secure Keys
複数の目的で同じ暗号鍵を再利用しておらず、暗号鍵が十分に安全な乱数生成器を使用して生成されていることを確認します。
Authentication
Server-side Validation
認証方式に問題がないこと、適切な認証情報の検証が行われていることを確認します。
Rate Limitation
総当り攻撃などの対策が取られているか確認します。
Session
Safe Termination
リモートエンドポイントでセッションが終了していること、設定されている期間非アクティブな状態が続いた後にセッションが期限切れになっていることを確認します。
Sensitive Actions
重要度の高いデータの表示や操作を行う際に再認証などが求められるか確認します。
Network Communication
Transport Encryption
アプリ全体でTLSを利用したセキュアな通信が利用されているか確認します。
Certificate Validation & Pin
セキュアチャンネルが確立されたときに、アプリがリモートエンドポイントのX.509証明書(有効なCAによる)を検証することを確認します。
その後、信頼できるCAによって署名されている場合でも、異なる証明書または鍵を提供するリモートエンドポイントとの接続を確立しないようにします。
Insecure Channels
アカウント復旧などの重要な操作が、ショートメールなどのセキュアでない方法に依存していないか確認します。
Platform Interaction
User Input Sanitization
システム外(UI, intents, custom URLs, networkなど)からの全ての入力を検証し、エスケープやサニタイズ処理が必要な際は適切にされているか確認します。
Webviews Protection
WebViewsで必要最低限のprotocol handler(理想はhttps)のみ許可されていることを確認します。また必要のない場合はjavascriptが無効になっていることも確認します。
Impede Dynamic Analysis and Tampering
Impede Automated Reverse Engineering
デバッグ情報がバイナリから削除されていることを確認します。
Prevent Buffer Overflow
アンマネージコードでは、メモリが安全に割り当てられ、解放され、セキュアに使用されていることを確認します。

価格

単体でのご依頼もお受けしております

スマホアプリケーション診断(iOS/Android)

¥1,000,000〜/ 1OS

お申し込みから
診断までのフロー

  1. 1

    ヒアリング

    診断内容、スケジュール、概要などをヒアリング

  2. 2

    事前調査

    ヒアリング内容をもとに診断対象を調査

  3. 3

    お見積もり

    ヒアリング・事前調査内容をもとに御見積書をご提出

  4. 4

    診断実施

    セキュリティ専門家による診断作業の実施

  5. 5

    診断内容の分析

    診断結果を精査、分析

  6. 6

    報告書の提出

    検出された脆弱性のご報告、具体的な対策案の提示

プレミアムプラントップへ戻る

サービス詳細や料金についての
ご質問・ご相談など
お気軽にお問い合わせください

資料請求・お問い合わせ