モバイル・アプリケーション・セキュリティとは

モバイル・アプリケーション・セキュリティは、Android、iOS、Windows Phoneなどのさまざまなプラットフォームでのモバイル・アプリのソフトウェア・セキュリティ態勢に焦点を当てています。これは携帯電話とタブレットの両方で実行されるアプリケーションに対応しています。この機能では、アプリケーションの実行用に設計されたプラットフォーム、アプリケーションの開発に使用されたフレームワーク、および予想されるユーザーセット(従業員とエンド・ユーザーなど)の環境で、アプリケーションのセキュリティの問題を評価します。モバイル・アプリケーションは企業のオンライン・プレゼンスの重要な部分であり、多くの企業は世界中のユーザーとつながるために完全にモバイル アプリに依存しています。

従来のデスクトップ・アプリケーションに比べて、デジタル・タスクの大半をモバイル・アプリケーションに依存するユーザーがこれまで以上に増えています。2015年の米国だけでも、ユーザーはモバイル・デバイスでのデジタル・メディアの利用時間の54%をモバイル・デバイスに費やし、モバイル・アプリを積極的に使用しました。これらのアプリケーションは、膨大なユーザー・データにアクセスできるようになっており、その大部分は機微データであり、不正アクセスから保護する必要があります。

一般的なモバイル・プラットフォームはすべて、ソフトウェア開発者がセキュアなアプリケーションを構築するために役立つセキュリティ管理策を提供していますが、多くの場合、開発チームは無数のセキュリティ・オプションから選択する必要があります。詳細な調査なしでは、攻撃者が簡単に回避できるようなセキュリティ機能の実装につながる可能性があります。

モバイル・アプリに影響する一般的な問題として、以下のようなものがあります。

  • ユーザーの携帯電話上の他のアプリケーションが読み取ることができる方法で、機微データを保存したり、意図せずに漏洩したりする。
  • 悪意のあるアプリケーションやユーザーによってバイパスされる可能性のある、不適切な認証・認可チェックを実装する。
  • 脆弱であることが判明している、または容易に侵害される可能性があるデータ暗号化方式を使用する。
  • インターネット上で機微データを暗号化せずに送信する。

これらの問題は、ユーザーの端末上の悪意のあるアプリケーションや、エンドユーザーと同じWiFiネットワークにアクセスできる攻撃者など、さまざまな形で悪用される可能性があります。


モバイル・アプリケーション・セキュリティ・テストとは

モバイル・アプリケーション・セキュリティ・テストでは、悪意のあるユーザーが攻撃を試みるやり方でモバイル・アプリをテストする必要があります。効果的なセキュリティ・テストは、アプリケーションの業務目的と処理するデータの種類を理解するところから始まります。そこから、静的解析動的解析ペネトレーション・テストを効果的に連携することで、見逃されがちな脆弱性を見つけることができます。テスト・プロセスには以下が含まれます。

  • アプリケーションを操作して、データの保存、受信、送信方法を理解する。
  • アプリケーションの暗号化された部分を復号化する。
  • アプリケーションを逆コンパイルし、得られたコードを解析する。
  • 静的解析を用いて、逆コンパイルしたコード内のセキュリティ上の弱点を特定する。
  • リバース・エンジニアリングと静的解析から得られた理解を応用して、動的解析とペネトレーション・テストを実施する。
  • 動的解析およびペネトレーション・テストを利用して、アプリケーション内で使用されるセキュリティ・コントロール(認証・認可の制御など)の有効性を評価する。

静的または動的テスト手法を用いてアプリケーションを評価するモバイル・アプリケーション・セキュリティ・ツールは、有償無償いずれも数多く存在し、その有効性の程度もさまざまに異なります。しかし、アプリケーションの包括的な評価を行うツールは1つもありません。最適なカバレッジを得るには、静的テストと動的テストの両方を組み合わせ、手動でレビューする必要があります。

モバイル・アプリケーション・セキュリティ・テストは、実装エラーから保護しながら、アプリケーションのセキュリティ管理策が想定どおりに機能することを確認するための実稼働前のチェックと考えることができます。このテストは、開発チームが想定していなかった可能性がある(セキュリティ・バグに転じる)エッジケースの発見に役立ちます。テスト・プロセスでは、実稼働環境に似た環境でコードと構成の両方の問題を考慮し、問題を確実に実稼働開始前に検出します。


Black Duckのセキュリティ・テスト方法

Black Duckのモバイル・アプリケーション・セキュリティ・テスト手法は、約20年にわたるセキュリティの専門知識に基づいています。モバイル環境専用に構築された独自開発の静的および動的解析ツールと、手動による検証と解析を利用して、モバイルアプリの脆弱性を見つけます。これらのツールは、基盤となるモバイル・プラットフォームの新しいリリースで定期的に更新およびテストされ、アプリケーション・コードとプラットフォームのバージョンの組み合わせによって発生する可能性がある問題の発見に役立ちます。

アプリ自体の脆弱性だけでなく、アプリケーションで使用されるバックエンド・サービスの問題も探します。アプリとバックエンド・サービスの両方に焦点を当てることにより、テストでアプリケーションのすべての側面が確実にカバーされます。