OWASP MASVS とは?

English -> Visit Promon Web Page

OWASP MASVS (モバイル アプリケーション セキュリティ検証標準 – Mobile Application Security Verification Standard) は、 モバイル アプリ セキュリティの業界標準です。安全なモバイル アプリケーションの開発を目指すモバイル ソフトウェア アーキテクトや開発者、またテスト結果の完全性と一貫性を確保するためのセキュリティ テスターが使用できます。

時間が経つにつれ、私たちの業界はモバイルの脅威の状況をよりよく把握するようになりました。結局のところ、モバイル セキュリティはデータ保護がすべてです。アプリには、個人情報、写真、録音、メモ、アカウント データ、ビジネス情報、位置情報などが保存されています。アプリは、私たちが毎日使用するサービスに接続するクライアントとして、また、私たちが他の人と交換するすべてのメッセージを処理する通信ハブとして機能します。誰かのスマートフォンが侵害されると、その人の生活にフィルタリングなしでアクセスできるようになります。モバイル デバイスの紛失や盗難が増え、モバイル マルウェアが増加していることを考えると、データ保護の必要性はさらに明らかになります。

  1. OWASP モバイルアプリがもたらすセキュリティ脅威トップ 10
    1. M1: 資格情報の不適切な使用
    2. M2: サプライチェーンのセキュリティが不十分
    3. M3: 安全でない認証/承認
    4. M4: 入力/出力の検証が不十分
    5. M5: 安全でない通信
    6. M6: プライバシー管理が不十分
    7. M7: バイナリ保護が不十分
    8. M8: セキュリティの誤った構成
    9. M9: 安全でないデータストレージ
    10. M10: 不十分な暗号化
    11. 安全なモバイルアプリを作成する方法
    12. OWASP の 4 つの質問フレームワーク
    13. OWASP MASVS で脅威モデリングを高速化
      1. モバイルアプリケーションセキュリティのゴールドスタンダード
      2. OWASP MASVS とは何ですか?
    14. OWASP モバイル アプリケーション セキュリティ検証標準 (MASVS)
    15. 3 つのモバイル アプリ セキュリティ テスト プロファイル: 基本セキュリティ、多層防御、回復力
      1. MASVS レベル 1: 基本セキュリティ
      2. MASVS レベル 2: 多層防御
      3. MASVS-RESILIENCE: リバースエンジニアリングと改ざんに対する耐性
    16. 課題
      1. OWASP-MASVS Resilienceのセキュリティ目標
    17. あなたのアプリにはどの MASVS プロファイルが適用されますか?
      1. MAS L1
      2. MAS L1+R
      3. MAS L2
      4. MAS L2+R
    18. あなたのアプリはどこに当てはまりますか?
    19. リバースエンジニアリングやアプリの改ざんに対する OWASP MASVS-Resilienceを検討
    20. 数分以内にOWASP MASVS-Resilienceに準拠
  2. プロモンの技術の特徴
  3. Promon関連ページ

OWASP モバイルアプリがもたらすセキュリティ脅威トップ 10

OWASP Mobile Top 10 は、モバイル アプリケーションに影響を与える最も一般的なセキュリティ リスクのリストです。

M1: 資格情報の不適切な使用

攻撃者は、ハードコードされた、または不適切に保存された資格情報を使用したり、正当なアクセス要件を回避したりすることで、モバイル アプリに不正にアクセスする可能性があります。

もっと詳しく知る

M2: サプライチェーンのセキュリティが不十分

攻撃者はアプリに悪意のあるコードを導入して、データを盗んだり、ユーザーをスパイしたり、モバイル デバイスを制御したりすることができます。また、サードパーティのソフトウェア ライブラリやハードコードされた認証情報の脆弱性を悪用することもできます。

もっと詳しく知る

M3: 安全でない認証/承認

攻撃者は、アプリのバックエンド サーバーと直接やり取りしたり、モバイル マルウェアやボットネットを使用して正当なユーザーとしてログインしたりすることで、認証を偽装またはバイパスできます。

もっと詳しく知る

M4: 入力/出力の検証が不十分

モバイル アプリでの入力/出力検証が不十分だと、SQL インジェクション、コマンド インジェクション、パス トラバーサルなどの脆弱性が生じ、モバイル アプリケーションが危険にさらされる可能性があります。

もっと詳しく知る

M5: 安全でない通信

中間者 (MITM) 攻撃は、通信を傍受して操作し、実装されているセキュリティ対策を回避してアクセス トークンと API キーを盗む可能性があります。

もっと詳しく知る

M6: プライバシー管理が不十分

攻撃者は、オーバーレイ攻撃、マルウェアに感染したアプリ、キーロガーを使用して、個人を特定できる情報 (PII) を抽出または操作する可能性があります。

もっと詳しく知る

M7: バイナリ保護が不十分

アプリバイナリは、リバースエンジニアリングやコード改ざんによって攻撃され、秘密や脆弱性が明らかにされたり、悪意のあるコードが挿入されたりする可能性があります。

もっと詳しく知る

M8: セキュリティの誤った構成

安全でないデフォルト設定、弱い暗号化、保護されていないストレージなどのセキュリティの誤った構成は、モバイル アプリで悪用される可能性があります。

もっと詳しく知る

M9: 安全でないデータストレージ

攻撃ベクトルには、特にルート化またはジェイルブレイクされたデバイスでのデバイス ファイル システムへの不正アクセスが含まれます。ルート化されていないデバイスやジェイルブレイクされていないデバイスでも、機密データはアプリケーションの外部に保存される可能性があります (写真ライブラリにクレジットカードの写真を保存するなど)。

もっと詳しく知る

M10: 不十分な暗号化

モバイル アプリの安全でない暗号化は、暗号化攻撃やブルート フォース攻撃など、さまざまな手法を使用して悪用される可能性があります。

もっと詳しく知る

モバイル アプリのセキュリティは、モバイル アプリが機密情報をどのように処理、保存、保護するかに重点を置く必要があります。ストレージ、暗号化、認証と承認、ネットワーク通信、モバイル プラットフォームとのやり取り、コードの品質、リバース エンジニアリングと改ざんに対する強化など、モバイル アプリの攻撃対象領域の主要なコンポーネントをカバーする必要があります。

安全なモバイルアプリを作成する方法

脅威モデリングは、攻撃者のように考え、悪意のある脅威アクターがアプリの脆弱性を悪用して悪用する方法をより深く理解するのに役立ちます。

「リスクを軽減するための最初のステップは、リスクを特定することです。モバイルアプリケーションの機能と、その動作中に発生する脅威を考慮した脅威モデリング演習が必要です。」~ ガートナー

OWASP の 4 つの質問フレームワーク

Open Worldwide Application Security Project (OWASP) は、脅威モデリング プロセスを 4 つの質問フレームワークから始めることを推奨しています。

  1. 私たちは何に取り組んでいますか?
  2. 何が問題になるのでしょうか?
  3. 私たちはそれについて何をするつもりですか?
  4. いい仕事ができましたか?

OWASP モバイル アプリケーション セキュリティ検証標準 (MASVS) は、お客様とチームがこれらの質問に答えるのに役立つだけでなく、脅威のモデル化を高速化するために、モバイル アプリケーションに適した一連のセキュリティ制御をガイドします。

OWASP トップ 10 チェックリストをダウンロード

OWASP MASVS で脅威モデリングを高速化

モバイルアプリケーションセキュリティのゴールドスタンダード

OWASP MASVS とは何ですか?

OWASP モバイル アプリケーション セキュリティ検証標準 (MASVS)

OWASP モバイル アプリケーション セキュリティ検証標準 (MASVS) は、モバイル アプリケーション セキュリティの業界標準となり、開発者、アプリケーション所有者、セキュリティ専門家にとって貴重なリソースとなっています。OWASP MASVS は、長年にわたるコミュニティの取り組みと業界のフィードバックの成果です。明確で簡潔なガイドライン、ベスト プラクティス、セキュリティ コントロールの包括的なセットを提供し、業界固有の脅威とモバイル アプリ アーキテクチャに基づいて、さまざまなユース ケースでさまざまなプラットフォーム (Android と iOS) のモバイル アプリのセキュリティを定義および評価するために使用できます。

3 つのモバイル アプリ セキュリティ テスト プロファイル: 基本セキュリティ、多層防御、回復力

OWASP MASVS は、モバイル アプリのセキュリティ テスト プロファイルを 3 つ提供しており、それぞれがモバイル アプリの異なるセキュリティ要件と保護レベルを定義しています。これにより、企業や開発者はモバイル アプリの適切なセキュリティ レベルを決定し、アプリ内で処理されるデータの整合性と機密性を保証するために適切なセキュリティ対策が実装されていることを確認できます。アプリのユース ケースとセキュリティ要件に応じて、対応するプロファイルと要件を選択したり、組み合わせたりすることができます。

MASVS レベル 1: 基本セキュリティ

MASVS レベル 1 は、アプリに少なくとも基礎レベルのセキュリティを確保したいアプリ開発者にとって良い出発点です。通常、リスクの低いシナリオと最小限のセキュリティ ニーズに対応するアプリに適しています。

MASVS レベル 2: 多層防御

MASVS レベル 2 は、「多層防御」とも呼ばれ、より高いレベルの保護を必要とするモバイル アプリケーションのセキュリティ ニーズに対応するように設計されています。このプロファイルは、機密データを扱うアプリ、潜在的にリスクの高い環境で動作するアプリ、または単に厳格なセキュリティ標準に準拠する必要があるアプリに適しています。金融データや医療データなどの個人識別情報 (PII) を扱うモバイル アプリや、厳格な規制要件を満たす必要があるモバイル アプリに特に適します。

MASVS-RESILIENCE: リバースエンジニアリングと改ざんに対する耐性

MASVS-Resilience はアプリに複数のセキュリティ制御を追加し、攻撃者がアプリをリバース エンジニアリングして貴重な知的財産や機密データを抽出することを困難にします。その結果、次のようなことが起こる可能性があります。

課題

  • 独自のアルゴリズム、企業秘密、顧客データなどの貴重なビジネス資産の盗難または侵害
  • 収益の損失や訴訟による重大な経済的損失
  • 契約違反や規制違反による法的損害および評判の損害
  • 否定的な宣伝や顧客の不満によるブランドの評判の損失

OWASP-MASVS Resilienceのセキュリティ目標

  • アプリが動作するプラットフォームの信頼性と完全性を確保する
  • 意図されたアプリ機能の完全性を保護する
  • アプリの機能を隠蔽することで静的解析による分析を妨害する
  • 実行時に攻撃者による潜在的なコード変更を可能にする動的分析と計測を防止

あなたのアプリにはどの MASVS プロファイルが適用されますか?

MAS L1

  • 事業資産なし
  • 低リスクの機密データ
  • センシティブな機能はありません
  • 機密データの例:名前、電子メール
  • アプリの例:ニュース (BBC ニュース)、カレンダー (Google カレンダー)

MAS L1+R

  • ビジネス資産/ロジック
  • 低リスクの機密データ
  • センシティブな機能はありません
  • ビジネス資産の例: IP、広告収入
  • アプリの例: 広告サポート付きの天気予報アプリ (天気とレーダー、ストームレーダー

MAS L2

  • 事業資産なし
  • 中程度/高リスクの機密データ
  • 繊細な機能
  • 機密データの例:位置情報、支払い情報、アクセストークン、API キー、暗号キー、暗号化されたユーザーデータ
  • 機密機能の例:医療記録、アプリ内購入
  • アプリの例:メッセンジャー (WhatsApp)、健康 (MyDoctor)、スポーツ (FitBit)

MAS L2+R

  • ビジネス資産/ロジック
  • 中程度/高リスクの機密データ
  • 繊細な機能
  • ビジネス資産の例: IP
  • センシティブな機能の例:送金、アプリ内購入
  • アプリの例:銀行業務 (ING banking to go)、保険、ゲーム (Pokemon GO)、エンターテイメント

あなたのアプリはどこに当てはまりますか?

Promonを利用すれば対応できます。お気軽にお問合せください。

リバースエンジニアリングやアプリの改ざんに対する OWASP MASVS-Resilienceを検討

MASVS-Resilience をセキュリティ コンセプトの最上位層としてモバイル アプリに統合することが必須であるかどうかを判断するには、モバイル アプリの性質を考慮してください。モバイル アプリに次の資産、データ、または機能のいずれかが含まれている場合、OWASP はリバース エンジニアリングとアプリの改ざんに対してモバイル アプリを強化することを推奨しています。これは、既に実装されている基本的なセキュリティ対策または多層防御セキュリティ対策に加えて行う必要があります。

機密性の高いビジネス資産とロジック機密データ繊細な機能
知的財産アクセストークン有料/プレミアム機能
ソースコードやアルゴリズムに関する特許と著作権APIキーアプリ内購入、サブスクリプション
収入源機密性の高い個人情報(健康データや財務データなど)送金
医療記録やその他の機密ファイルなどのアップロード機能

数分以内にOWASP MASVS-Resilienceに準拠

Promonのアプリ シールド ソフトウェアはオンプレミス SDK として提供され、最小限のセキュリティ知識でアプリ セキュリティの複雑さに対応します。Promon SHIELD™ は数分で統合でき、あらゆるコマンド ライン インターフェイスや開発チームのお気に入りの CI/CD ツールとスムーズに連携します。

お問い合わせ

Promon SHIELD™ は、モバイル アプリにリバース エンジニアリング防止と改ざん防止のセキュリティ機能を追加するアプリ強化テクノロジーです。同時に、ゴールド スタンダードの要件をはるかに超えるOWASP MASVS-Resilience コントロールの達成も支援します。

プロモンの技術の特徴

OWASP MASVS
レジリエンス制御
プロモンの技術の特徴
アプリはプラットフォームの整合性を検証します– エミュレータ検出
– ルート化と脱獄検出
– 信頼できないキーボード、キーロガー、スクリーンリーダー、オペレーティングシステムのアクセシビリティサービスの悪用を検出してブロック
アプリは改ざん防止メカニズムを実装している– ランタイム整合性チェック
– コードインジェクション防止
– フックフレームワークの検出
– 再パッケージ化の検出
アプリは静電気防止分析メカニズムを実装しています– アンチデバッグ
– コード難読化 ( Promon IP Protection Pro™ )
– データ暗号化 ( Promon Asset Protection ™)
このアプリは反動的解析技術を実装している– デバッガー検出
– リバースエンジニアリングツールの検出

Promon関連ページ

エキスパートによるアプリセキュリティ | Promon

ソフトウェアセキュリティソリューション – アプリを安全に保つ
App Shielding – セキュリティソリューションApp Shieldingが規制要件に対応
コード難読化で攻撃からアプリコードを保護アプリのための次世代 Jigsaw バイナリコード難読化

なぜPromonを選ぶのか?

モバイルアプリとデスクトップアプリ向けのアプリシールド
モバイルアプリ向けアプリセキュリティ
– Promon SHIELD®
デスクトップアプリ向けアプリセキュリティ
– Promon SHIELD®
iOS/ Androidアプリの知的財産保護Promon App Attestation - API 保護
Promon Asset Protection™ -モバイルアプリのデータ保護AndroidおよびiOS用のPromon SDK Protection
Promon Insight™ — モバイルアプリ向けの実用的な分析
銀行と決済、自動車、ゲーム、政府、ヘルスケア業界で利用されるアプリシールド
銀行アプリのセキュリティ – バンキング&金融サービス決済アプリの保護 – 決済アプリのセキュリティ
ヘルスケアアプリの保護 – 医療健康セキュリティショッピング アプリのセキュリティ
セキュアなモバイル電子政府アプリ – アプリ内保護車載アプリ向けのモバイルアプリセキュリティ
ゲームアプリのアプリシールドとセキュリティ

OWASP MASVS とは?

Promon セキュリティソフトウェア用語集


BeyondTrustLeostreamPromoni-Sprint AxMXブログ(旧)