02. iOS/Androidアプリ脆弱性診断

概要

iOS/Androidアプリの脆弱性診断とは

アプリは見過ごされがちですが、サーバーと連携するような場合は脆弱性を作り込みがちです。Web脆弱性診断と同様にですが、ロジック部分の実装・設計ミスは相変わらずアプリにも存在しますし、リスクは同等です。さらにそれに加え、アプリでは本来秘匿しておくべき情報をクライアントに持たせてしまったために起こる情報漏えい等も起こる可能性があり、アプリ本体の細かいファイルの配置や情報設計にも気を配る必要があります。

成果物について

成果物としては、脆弱性の一覧表とその対策、リスクの大きさなどを一覧できるものを作成し共有します。脆弱性診断を行って問題が発見されても正しい修正方法が開発者にわかりやすく伝わらなければ意味がありません。また、問題が見つかったとしても重要なものでなければ経営判断として修正を行わないという判断もあるかと思います。そのような場合にリスクの大きさと修正方針が明確でなければ意味がないと考えています。

その他

細かな要望や条件のもと予算や期間との兼ね合いに柔軟に対応できます。脆弱性診断は大手の企業等に安価でお願いした場合には事前のヒアリングや規模感のフィッティング等から含めて、事前準備が大変な割にはツールを自動で回した結果が得られるだけになったり、もしくは精緻に脆弱性を網羅的に発見しようとした場合などには高額になりがちです。私の場合は個人ですので、チームにセキュリティ担当がジョインしているかのような状態で貢献することが可能ですし、「ここは決済機能なので重点的に見ておきたい」等の要望には比較的応えられると思っています。セキュリティは日々移り変わりゆくものという性質があり、パフォーマンスとしては基本的にはベストエフォートとなります。