Vol.13 スマートフォンアプリの脆弱性診断を受ける際に必要な準備とは？

そうですね。そういった環境の中で、スマートフォンアプリの脆弱性診断というのは、アプリの安全性を確保し、ユーザーからの信頼を得るために重要なプロセスなのです。

適切な準備と注意点を押さえることですね。例えば、対象アプリの情報整理、診断の範囲や目的の明確化などが含まれます。

それでは、事前の準備について詳しく見ていきましょう。

診断会社の選定

脆弱性診断サービスの依頼先を選定するときは、以下のポイントをチェックしておくことが重要です。

• 診断会社の実績
• 診断会社が提供するサービスと、依頼したい診断内容がマッチしているか

いいところに気が付きましたね！その調子で、次の準備も見ていきましょう。

開発スケジュールの調整

脆弱性診断を受ける前に、開発スケジュールについて診断会社と認識を合わせる必要があります。アプリの規模によっては脆弱性診断にかかる日数が長くなる可能性があるため、いつまでに脆弱性診断を完了させる必要があるか、診断会社とよく確認する必要があります。
また、脆弱性診断の結果によって、修正が必要な指摘が発生する可能性もあります。診断期間と開発スケジュールを事前に調整したうえで、リリース日に影響が出ないように進めなければなりません。

そうなんです。だからこそあらかじめ開発スケジュールの調整が重要ということを知っておいてほしいのです。

診断に必要な情報の整理

脆弱性診断に必要な情報を整理し、診断会社に情報を提供するための準備を行います。具体的には、apkやipaファイルの送付などの方法でアプリそのものを診断会社へ提供します。本番環境に近い状態で脆弱性の確認を行うために、テストまで完了した、リリース可能な状態のアプリを用意することが望ましいです。
さらに、診断会社に診断対象とするべき箇所を判断してもらうため、設計書や画面遷移図などの資料も準備しましょう。また、診断実施時には診断対象へのアクセス情報やサンプルデータなど、操作可能なデータの準備も必要です。

脆弱性診断の範囲や目的、期待される結果の明確化

脆弱性診断を受ける際には、診断対象の画面や目的、期待される結果についても明確にしておくことが重要です。例えば、顧客の個人情報を取り扱うアプリの場合、「機微な情報が平文で端末内に保存されていないかを確認する」といったことが挙げられます。

そうなんです。そういった目的を診断会社と共有しておくことで、より有意義な診断結果を得ることができますからね。

これもいくつかありますから、一つずつ見ていきましょう。

実施環境の確定

Webサーバーと通信が発生するスマートフォンアプリの場合、開発環境・本番環境とは別に、これらを再現した「脆弱性診断用の環境」を用意することが望ましいです。もし脆弱性診断用の環境を用意できない場合は、以下のリスクに注意しましょう。

• 本番環境での診断：実際のユーザーデータ漏えいや、意図しないデータの更新が発生する可能性
• 開発環境での診断：開発者の実施するテスト内容が脆弱性診断の結果に影響する可能性

そうなんです。何かあったときの影響が大きいからこそ、脆弱性診断用の環境をおすすめしているんですよ。そして、次のような準備も欠かせません。

アクセス制限の解除

一般的なスマートフォンアプリの脆弱性診断は、外部のIPアドレスからアクセスしてアプリを動作させます。そのため、IPアドレスの制限がかかっている場合は、診断会社のIPアドレスからでもアクセスできるように調整する必要があります。

テストデータの準備

脆弱性診断をスムーズに実施するためには、診断対象画面を操作できる十分なデータが必要です。データが不足していると、脆弱性診断の精度や実施スケジュールに影響する恐れがあります。また、脆弱性診断の精度を高めるためには、テストデータの内容を事前に検討し、脆弱性診断の範囲や目的を網羅できるテストデータを準備することが重要です。

スマートフォンアプリの脆弱性診断は、セキュリティを確保するうえで非常に重要です。脆弱性診断を受ける際の準備や注意点を理解し、適切に対応することで、より効果的な結果を得ることができます。スマートフォンアプリの脆弱性診断を活用して、アプリのセキュリティを確保しましょう！