・スマホアプリでユーザーのIoT機器の制御ができるため、乗っ取りが発生した場合の物理的なリスクが大きい.
・また、ユーザーの購買履歴や健康データなども収集するため、これらの漏えいリスクも排除しておきたい。
・監査・社内規程の対応として、スマホアプリのセキュリティ評価結果を用意する必要があり、診断を検討。

《診断実施の背景》

【2】ご相談から診断開始まで

・初回ヒアリングからレポート提出まで約2か月

《ヒアリングからご報告までのイメージ》

2-1. ヒアリングとスケジュール調整

最適なご提案のため、初回はWeb会議にて弊社の技術者を交えて、「診断対象」や「診断目的」などのご要望を伺います。

例えば、お話を伺う中でスマホアプリ内にAPI部分があった場合、API専用の診断をご提案するケースなどもございます。
依頼時に詳細が固まっていないなど、ご不安な点がある場合は、お気軽にその旨をお伝えください。

デザイン修正と診断のタイミング💡
「診断期間中にデザイン修正をしてもいいですか？」というご質問をよく頂きます。
診断に影響がない範囲であれば問題ありませんが、診断はあくまで「その時点のアプリ」に対して行います。
バージョンアップ予定がある場合は、アップデート完了後の実施が最も確実です。

2-2. 診断期間の目安（スタンダードプランの場合）

・1 OS（例：iOSのみ）：約6営業日
・2 OS（例：iOS + Android）：約12営業日（順次実施）

リリーススケジュールに合わせた調整も可能です。ご希望の完了日がある場合はぜひご相談ください。

2-3. お申し込み・準備

お申し込み後、ヒアリングシートに必要事項をご記入いただきます。
診断対象となるスマホアプリについて、以下の点などを確認しております。

・サポートOSバージョン（アプリが動作する最小のOSバージョン）
・アプリの共有方法
・API連携の有無
・認証機構の有無
・アプリ防御機構の有無

また、診断を円滑に進めるために、診断対象アプリの動作確認を実施する場合があります。
その際は事前にご連絡のうえ、許可をいただいてから実施いたします。

アプリをご提供いただく方法💡
診断対象のアプリの受け渡しは、TestFlight経由で弊社所有の端末にインストールする形や、IPAファイルをご提供いただく形で進めていきます。

《アプリを提供いただく形式の例》

【3】診断実施

3-1. 診断中のやり取り

診断開始後、事前に「ご指定いただいた危険度以上」の脆弱性が見つかった場合、本レポートとは別に速報のご連絡をいたします。

3-2. 指摘事項の例

弊社では「緊急〜低」の脆弱性だけでなく、セキュリティ向上に役立つ「情報（参考情報）」レベルの指摘も行っています。以下は情報レベルの指摘の一例です。
なお、指摘事項の危険度は、攻撃リスクや診断実施環境（開発/本番環境など）を考慮して設定しています。

デバッグモードの有効化
攻撃に有用な情報が漏洩するリスクを指摘。
本番環境で無効化されるべき点として、実際の画面キャプチャを添えて報告しました。

コードの難読化不足
アプリが解析されやすい状態だったため、可読性のある関数名一覧を提示し、リバースエンジニアリング対策の必要性を報告しました。

《指摘事項のかんたん解説》

【4】さいごに

スマホアプリ診断は、APIの有無やOSの種類によって最適なプランが異なります。

「自社のアプリにはどの診断が必要？」「リリースまで時間がない！」といった場合も、まずはWeb会議にて技術的な観点からアドバイスさせていただきます。

診断をご検討の際は、ぜひご連絡ください！🦁
>>>スマホアプリ診断

こちらの記事もおすすめです👇
>>>【知っておきたい】Webアプリケーション診断とスマホアプリ診断の違い

株式会社レオンテクノロジー

【導入事例】BtoC/製造業/上場企業/大企業/スマホアプリ診断(iOS)