- 印刷する
- PDF
App Security Checker とは
- 印刷する
- PDF
Classic/VPC環境で利用できます。
App Security Checkerを簡単に理解・活用できるように診断方式や診断レポートなどの概念について説明します。
アプリ脆弱性
モバイルアプリを利用する際に発生するソースコードや動作方式などに存在する保安上の弱点のことを言います。
App Security Checkerは、現在以下の6つの項目を基準にして脆弱性を診断します。
- 安全でないコンポーネントの実装
- 要配慮情報漏えいの危険
- 安全でない Buildの設定
- 安全でない SSLの実装
- 安全でない暗号化の使用
- Null Pointの逆参照
脆弱性診断基準は、引き続きアップデートされる予定です。脆弱性診断基準に関する詳しい内容は NAVERクラウドプラットフォームポータルのサービス > Security > App Security Checkerご参照ください。
OWASPの脆弱性
App Security Checkerを使用すると、Open Web Application Security Project(OWASP)で選定したモバイルアプリの脆弱性 TOP10のうち、9つの脆弱性の存在有無について診断レポートで確認できます。
- 確認できる脆弱性: M1、M2、M3、M4、M5、M6、M8、M9、M10
各脆弱性に関する詳しい説明は OWASP Mobile Top 10をご参照ください。
診断方式
App Security Checkerの診断は以下のとおりです。
- 診断に必要な apkまたは aab形式のアンドロイド向けアプリパッケージをアップロードすると、診断が開始します。
- アップロードしたアプリパッケージを対象に Analyzerに診断をリクエストします。
- Analyzerでアプリパッケージを分析し、脆弱性を検知します。
- 検知された脆弱性に対する適切な対応策を提案します。
診断レポート
脆弱性診断が終了すると、診断結果を集約したレポートを受けられます。レポートは診断対象、診断時間など、診断作業に関する情報と共に見つかった脆弱性の種類、危険度、個数などを含みます。また、見つかった脆弱性に関する詳細説明と見つかった場所とともに詳細な対応策についても記述されています。
診断の完了有無は通知設定をした場合、メールまたは携帯電話の SMSで確認でき、診断レポートはコンソールにアクセスして確認できます。
NAVERクラウドプラットフォームポータルで、診断レポートのサンプルを確認できます。詳しい内容はポータルの サービス > Security > App Security Checkerご参照ください。