経済産業省が定める「情報セキュリティサービス基準」に基づく登録サービス
サービス名:ペネトレーションテストサービス/脆弱性診断サービス
モバイルアプリケーション ペネトレーションテストは、スマートフォンやタブレットで利用されるモバイルアプリケーションに特化した侵入テストサービスです。アプリケーションの設計、構成、データ通信、保存領域、認証機構などを多角的に検証し、実際の攻撃を想定した高精度な脆弱性評価を実施します。ホワイトハッカーを擁するCyberCrewが、お客様のモバイルアプリのセキュリティ強化を支援します。
(モバイルアプリケーションセキュリティ検証基準)
(モバイルセキュリティテストガイド)
(GDPR、HIPAA、PCI DSS等)
| 脆弱性カテゴリ | 説明 |
|---|---|
|
入出力バリデーションの不備 |
SQLインジェクション、コマンドインジェクション、XSSなどの攻撃に
より、アプリケーションの操作を乗っ取られる可能性があります。 |
|
認証・認可の脆弱性 |
自動化された攻撃により、ユーザーのなりすましや不正アクセス、情報窃取が発生するリスクがあります。 |
|
安全でないデータ保存 |
弱い暗号化や資格情報の不適切な保存によって、ユーザーデータが漏洩するリスクがあります。 |
|
通信の安全性の欠如 |
パブリックネットワークを介した通信において、暗号化不足により盗聴・中間者攻撃を受ける可能性があります。 |
|
暗号処理の不備 |
鍵管理の不適切やアルゴリズム実装ミスなどが原因で、暗号化された情報の漏洩や破損が起こり得ます。 |
|
ハードコーディングされた認証情報 |
アプリ内に埋め込まれた認証情報が第三者に取得されることで、不正ア
クセスの原因になります。 |
当社のペネトレーションテストは、お客様のモバイルアプリケーションを多角的に、
かつ深く評価するために、以下の体系的な構成で実施されます。
アプリケーションを実行しない状態で、ソースコード、バイナリ、構成ファイルを解析。以下を重点的に検証します。
実際にアプリケーションを実行し、通信やメモリ内の動作を解析。以下を重点的に検証します
モバイルアプリケーションが連携するバックエンドAPIの脆弱性を検証。
業務に使用されるモバイルアプリが社内ネットワークに接続可能な状態にある場合、不適切なネットワーク設計やアプリの通信制御の不備を突いて、外部の攻撃者がアプリを経由し、社内システムへ不正アクセスを試みるケースです。
ログイン情報、トークン、個人情報などが平文で保存されていないかを確認
パスワードの強度やトークンの管理、認可制御の適切性を検証
SSL/TLSの検証不足や中間者攻撃(MitM)への脆弱性を確認
コード改ざんや解析への耐性を検証(難読化・署名検証など)
Android/iOSにおける推奨セキュリティガイドラインの逸脱を確認
ローカルでの入力検証や認可処理の欠落によるバイパスの可否を確認
モバイルアプリと連携するバックエンドAPIの認証・アクセス制御・データ漏洩リスクなどを検証
| 効果 | 説明 |
|---|---|
|
アプリケーション全体の安全性向上 |
コードレベルから実行時の振る舞い、連携するAPIまでを網羅的に診断し、潜在的な脆弱性を包括的に洗い出します。 |
|
法規制・ガイドライン遵守 |
OWASP Mobile Top 10や各種規制(GDPR、HIPAAなど)への準拠状況を評価し、法的リスクを低減します。 |
|
ユーザーの信頼獲得 |
セキュリティ対策を強化することで、ユーザーデータの保護を明確にし、アプリケーションの信頼性とブランドイメージを向上させます。 |
|
開発サイクルの最適化 |
開発の早い段階で脆弱性を発見・修正することで、リリース後の重大な手戻りやコストの発生を防ぎ、開発効率を高めます。 |
|
情報漏洩・不正利用の防止 |
機微情報がアプリ内に不適切に保存されたり、通信経路で傍受されたりするリスクを特定し、ユーザーデータの安全を確保します。 |
発見された脆弱性の詳細から具体的な改善提案まで、貴社のセキュリティ強化に必要なすべての情報を網羅したレポートを納品いたします。
実際の費用は、ヒアリングの上、テストの対象範囲を決定した上で、個別にお見積もりいたします。
記載の前提条件に基づいた参考価格であり、金額を保証するものではありません。
Webアプリケーション ペネトレーションテストは、ウェブサイトやウェブサービスなどのWebアプリケーションに特化した侵入テストサービスです。ホワ イトハッカーを擁するCyberCrew は、最新の脆弱性に対応したWebアプリ ケーション向けのペネトレーションテスト(侵入テスト)を提供しています。
モバイルアプリケーション ペネトレーションテストは、スマートフォンやタブレットで利用されるモバイルアプリケーションに特化した侵入テストサービスです。アプリケーションの設計、構成、データ通信、保存領域、認証機構などを多角的に検証し、実際の攻撃を想定した高精度な脆弱性評価を実施します。
クラウド ペネトレーションテストは、AWS、Azure、GCPなどのクラウド環境に特化した侵入テストサービスです。企業が利用するクラウド基盤に対して、実際の攻撃者を模した手法で脆弱性を検出し、重要なデータ資産の保 護を支援します。
ネットワーク ペネトレーションテスト(侵入テスト)は、企業のネットワークインフラに存在する脆弱性を特定し、攻撃者による不正アクセスや情報漏洩リスクを未然に防ぐことを目的としたセキュリティ評価サービスです。
業務や組織構造を踏まえてカスタム設計された“攻撃シナリオ”に沿って、 実際の攻撃フローを模擬的に実行。内部感染、権限昇格、情報持ち出しなど、 "攻撃の現実性"と"被害の広がり"を横断的に評価します。
人を標的にした攻撃(フィッシング・なりすまし・情報詐取など)を通じて、組織の「人と仕組み」の脆弱性を検証するテストです。物理侵入や電話を用いた疑似攻撃にも対応し、セキュリティポリシーの有効性や、従業員の対応力を評価します。
ChatGPTなどのLLM(大規模言語モデル)を活用したシステムに対して、プロンプトインジェクションや情報漏洩、脱検閲の再現を通じ、AIを介した攻撃経路の存在や被害範囲を検証するテストです。 API・チャットUI・外部連携など、実運用に近い条件で評価を行います。
CyberCrewの脆弱性診断サービスは、自動ツールを活用した「スピーディかつリーズナブルな診断」により、企業のセキュリティ状況を可視化します。 なお、当社の「ペネトレーションテスト」サービスには、この脆弱性診断が前提工程として含まれており、 攻撃シナリオ設計や実行前にリスクを網羅的に把握することを目的として活用されます。
