製品概要
スマートフォンアプリケーション診断では、スマートフォンアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を 脅かす要因への対策が適切に行われているかを診断します。
主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用します。これにより、お客様が独自に作り込んだアプリケーションであっても、潜在するセキュリティ上の問題のほとんどを発見することができます。
また、発見された問題に対して、具体的な対策方法をアドバイスし、適切な対策の実施を支援します。
【主な診断項目】
■データ保護状況のチェック
アプリケーションが保存するデータの保存場所、アクセス権、保存方法などが適切であるかを診断します。
■通信の保護状況のチェック
重要情報が適切な暗号化方式で暗号化されて送信されているか、通信するサーバの正当性の検証方式が適切であるかなどを診断します。
■解析抑止状況のチェック
適切な難読化処理が行われているか、ソースコード内に漏洩することで悪用される可能性のある情報が保存されていないかなどを診断します。
■プライバシーの保護状況のチェック
アプリケーションが収集する情報に関して、アプリケーションの利用者に許諾を求めているかなどを診断します。
■連携機能のチェック
アプリケーションの機能を他のアプリケーションに利用させる場合などの連携方式が適切であるかを診断します。
■不正利用防止状況のチェック
アプリケーションの利用者の認証方式やアプリケーションの正規の購入者であることの確認方法などが適切であるかを診断します。
■利用機能の許諾確認状況のチェック
アプリケーションが要求するパーミッションが必要最低限であるか、要求する機能のパーミッションに関する説明を適切に記載しているかなどを診断します。
特徴
<特長1>
主担当としてセキュリティ診断を実施するコンサルタントは、下記の条件をすべて満たす業界トップレベルの高いスキル・豊富な経験を保有しています。
・セキュリティ診断の経験が2年以上、かつ100システム以上を担当(※2012年4月1日現在)
・米国The SANS Instituteが主催する専門的なトレーニングコースを修了
・各種セキュリティ関連資格を保有
<特長2>
頻発する不正アクセス事件や新しい攻撃方法に対応するため、診断項目や利用するツールの見直しを随時行っています。
<特長3>
・実施1ヶ月以内の対策状況の確認
・診断結果の迅速なフィードバック(3営業日以内)
・発見された問題点への推奨対策を含む報告書