モバイルアプリのセキュリティ – Mobile app security

English -> Visit Promon Web Page

モバイル アプリケーションのセキュリティとは何ですか?

モバイル アプリ セキュリティとは、サイバー犯罪者からの脅威を防止し、修復するために組織のモバイル アプリに追加される一連のベスト プラクティス、テクノロジ、機能です。これには、 コードを隠蔽するための アプリケーション・ハーデニング 、 ランタイム アプリケーション自己保護 (Runtime Application Self-Protection – RASP)、重要なデータとキーを暗号化するためのホワイト ボックス暗号化が含まれます。 モバイル アプリケーション セキュリティは 、モバイル アプリがサイバー脅威からどの程度保護されているかを指す場合もあります。

モバイル アプリにアプリ セキュリティが必要なのはなぜですか?

モバイル アプリへのサイバー攻撃は増加傾向にあり、組織は着実に増加している侵害を報告しています。モバイル アプリへの攻撃は、ユーザー データの盗難、コンプライアンス違反、ブランドの評判への永久的な影響、継続的な経済的損失など、壊滅的な結果をもたらす可能性があります。アプリケーション セキュリティは、運用効率を高め、コンプライアンス要件に対応し、リスクを軽減し、企業と顧客間の信頼を向上させます。

モバイルアプリのセキュリティ脅威

モバイル アプリには検査可能なコードがあり、パブリック ストアからダウンロードできるため、Web アプリよりも攻撃対象領域が広くなります。さらに、収集できるユーザー データの量も考慮すると、サイバー犯罪者にとって非常に魅力的なターゲットとなります。

アプリケーションの約 90% に重大な脆弱性があります。モバイル アプリケーションの弱点や攻撃を定期的に分析している OWASP は、最も危険な脆弱性のリストであるOWASP Mobile Top 10 (Promonサイト 英語) をまとめています 。

  • 不適切なプラットフォームの使用
  • 安全でないデータ保存
  • 安全でない通信
  • 安全でない認証
  • 不十分な暗号化
  • 安全でない認証
  • クライアントコードの品質
  • コードの改ざん
  • リバースエンジニアリング
  • 余分な機能

OWASP の脆弱性リストは、組織、開発者、セキュリティ専門家にとって出発点となります。攻撃シナリオの例と推奨される緩和戦略が付属しています。一般的なモバイル アプリ攻撃シナリオには、認証情報の収集、中間者 (MITM) 攻撃、マルウェア、金融詐欺、セキュリティ メカニズムの回避、キーとシークレットの抽出、知的財産の盗難、再パッケージ化、クローン作成、改ざんなどがあります。

モバイルアプリのセキュリティテスト

アプリケーションは、顧客情報や知的財産などの機密データを処理、保存、送信、またはアクセスできるようにします。アプリを厳格なセキュリティ テストにかけることは不可欠です。モ​​バイル セキュリティ テストには、オペレーティング システム (iOS や Android など)、アプリケーション バックエンド (アプリからデータを送信する Web サービスや API など)、およびそれらの間の暗号化のテストを含める必要があります。

モバイル アプリのセキュリティ テストの目的は、エコシステムが保護され、 PCI DSS (Promonサイト 英語)や GDPR などの規制要件に完全に準拠していることを確認することです。テストは手動と自動 (モバイル脆弱性スキャン) の両方で行うことができます。

ビジネス生産性アプリのセキュリティ

カスタム モバイル ビジネス アプリを使用すると、企業の IT 資産に簡単にアクセスできるようになり、従業員やパートナーの生産性が大幅に向上します。しかし、セキュリティはどうでしょうか。ハッカーが管理されていないデバイスで実行されているエンタープライズ レベルのアプリを攻撃すると、従業員のログイン、企業秘密、顧客データなど、多くの機密性の高い企業情報が侵害される可能性があります。セキュリティ保護されていない生産性向上アプリは、一般に実行されている顧客向けアプリと同様に、企業にとって大きな脅威となる可能性があります。

モバイル デバイス管理 (MDM) は、こうした脅威を克服するための従来の手段です。しかし、アプリにアクセスできる非従業員のネットワークが拡大していることや、MDM の侵入的な性質により、企業はアプリのセキュリティを確保するためにさらなる対策を講じる必要があります。ビジネス生産性アプリを包括的に保護するアプリケーション シールドは、セキュリティをさらに強化します。

2 要素認証は、あらゆるビジネス生産性アプリに必須であり、ログイン フォームでアプリが要求するのはログイン情報のみである必要があります。企業は生産性アプリをモバイル アプリ管理プラットフォームにオンボードし、マルウェアやプライバシー リスクがないことを確認するために検査する必要があります。また、企業ブランドのアプリ ストアですべての生産性アプリを配布して、制御を最大限に高めることをお勧めします。

モバイルアプリを保護するためのツールとベストプラクティス

GoogleApple はどちらも、 モバイル アプリに関する便利なベスト プラクティス ガイドを提供しています。 ソフトウェア セキュリティの向上に取り組む非営利団体である Open Web Application Security Project® (OWASP) も、もう 1 つの便利な情報源です。OWASP のモバイル セキュリティ プロジェクトでは、セキュリティ チェックリスト、ツール、テスト マニュアル、および安全なモバイル アプリケーションの構築と維持に必要なその他のリソース を提供しています 。

開発者は通常、モバイル アプリのセキュリティを外側から内側に実装します。ほとんどの場合、これにはアプリや貴重な資産の周囲に仮想境界を定義することが含まれます。Promon は 、アプリを内側から外側に保護することを推奨しています。サーバー側のインフラストラクチャでは十分な保護が提供されず、モバイル オペレーティング システムのセキュリティ アーキテクチャに依存すると、アプリが脆弱になる可能性があります。 アプリケーション シールドは 、他のセキュリティ ソリューションでは見落とされる可能性のある脅威を特定して、アプリを包括的に保護します。

モバイルアプリのセキュリティのベストプラクティス

開発者は通常、モバイル アプリのセキュリティを外側から内側に実装します。ほとんどの場合、これにはアプリや貴重な資産の周囲に仮想境界を定義することが含まれます。Promon は、アプリを内側から外側に保護することを推奨しています。サーバー側のインフラストラクチャでは十分な保護が提供されず、モバイル オペレーティング システムのセキュリティ アーキテクチャに依存すると、アプリが脆弱になる可能性があります。アプリケーション シールドは、他のセキュリティ ソリューションでは見落とされる可能性のある脅威を特定して、アプリを包括的に保護します。

セキュリティソフトウェア用語集

アプリケーション・ハーデニングアプリケーションシールドアプリの改ざん
証明書のピン留めコードの難読化デバイスのクローン作成
フッキングフレームワーク脱獄キーロギング
モバイルアプリのセキュリティルート化リバースエンジニアリング
ランタイム保護ソフトウェア開発キットホワイトボックス暗号化

Promon 関連情報

エキスパートによるアプリセキュリティ | Promon
インターネットで利用される、モバイル、デスクトップアプリのセキュリティを確保します。