スマホアプリ脆弱性診断
iOS / Android アプリのセキュリティリスクを、静的解析・動的解析・リバースエンジニアリング耐性テストの3手法で多角的に検出。OWASP Mobile Top 10 2024 準拠の診断で、アプリリリース前の脆弱性を徹底的に洗い出します。
サービスについての
お問い合わせはこちら
お問い合わせはこちら
こんなお悩みはありませんか?
スマホアプリをリリースしたいが、セキュリティ面の不安がある。どこから手をつけていいかわからない。
セキュリティ診断を実施したいが、国内ベンダーの見積もりが高額で予算確保が難しい。
OWASP Mobile Top 10 に準拠した網羅的な診断をしたいが、社内にモバイルセキュリティの専門家がいない。
コウェルの強み
ベトナムオフショアの強みを活かした、高品質かつコスト競争力のあるセキュリティ診断
Point
01
ベトナムオフショア活用によるコスト優位性
国内大手セキュリティベンダーと比較して30〜50%のコスト削減を実現。ベトナムの優秀なセキュリティエンジニアが、国際基準に準拠した高品質な診断を提供します。コスト面のハードルを下げることで、定期的なセキュリティ診断の実施が可能になります。
Point
02
OWASP Mobile Top 10 2024 完全準拠の診断項目
最新のOWASP Mobile Top 10(2024年版)の全10カテゴリを網羅した診断を実施。不適切なクレデンシャル使用、サプライチェーンセキュリティ、バイナリ保護など、最新の脅威トレンドに対応した検査項目でアプリの安全性を評価します。
Point
03
診断後の改修支援までワンストップ対応
脆弱性の発見だけでなく、改修方針の提案から実装支援までをワンストップで対応。オフショア開発チームとの連携により、診断結果に基づく迅速な改修が可能です。「診断して終わり」ではなく、セキュアなアプリの実現までサポートします。
脆弱性の発見から改修まで、ワンストップでサポート
コウェルは診断結果をお渡しして終わりではありません。発見された脆弱性の改修支援、再診断、さらにはセキュアな開発プロセスの構築まで、お客様のモバイルアプリセキュリティをトータルにサポートいたします。
静的解析診断(SAST)
アプリのソースコードまたはコンパイル済みバイナリを解析し、コード内に潜む脆弱性を網羅的に検出します。
対象プラットフォーム | iOS(Swift / Objective-C)、Android(Kotlin / Java) |
|---|---|
解析対象 |
|
主な検出項目 |
|
使用ツール | MobSF、JADX、Hopper Disassembler、apktool、専用スクリプト |
動的解析診断(DAST)
実機上でアプリを実行し、ランタイムの挙動を監視・操作することで、実際の攻撃シナリオに基づく脆弱性を検出します。
対象プラットフォーム |
|
|---|---|
診断手法 |
|
主な検出項目 |
|
使用ツール |
|
リバースエンジニアリング耐性テスト
アプリのバイナリ保護・改ざん検知メカニズムの有効性を検証し、知的財産やビジネスロジックの保護状況を評価します。
検証項目 |
|
|---|---|
サーバサイドAPI連携 |
|
OWASP Mobile Top 10 2024 とは
OWASP(Open Worldwide Application Security Project)が公開する、モバイルアプリにおける最も重大なセキュリティリスクのランキングです。2016年版から8年ぶりに更新され、最新のモバイル脅威トレンドを反映しています。コウェルの診断は全10項目を網羅的にカバーします。
- M1
不適切なクレデンシャルの使用
ハードコードされたAPIキー、パスワード、トークンなどの認証情報がアプリ内に埋め込まれているリスク。
- M2
不十分なサプライチェーンセキュリティ高精度・低誤検知
サードパーティライブラリ・SDKの脆弱性、悪意あるコードの混入、依存関係の管理不備。
- M3
安全でない認証/認可
認証フローの迂回、不適切な認可チェック、権限昇格が可能な状態。
- M4
不十分な入力/出力バリデーション
SQLインジェクション、XSS、パストラバーサルなどのインジェクション攻撃に対する防御不備。
- M5
安全でない通信
平文通信、不適切なTLS設定、証明書検証の不備による通信内容の傍受リスク。
- M6
不十分なプライバシーコントロール
個人情報の不必要な収集、不適切な保存、ユーザー同意なしのデータ共有。
- M7
不十分なバイナリ保護
コード難読化の欠如、改ざん検知なし、リバースエンジニアリングへの無防備。
- M8
セキュリティの設定ミス
デバッグモードの有効化、過剰な権限要求、安全でないデフォルト設定。
- M9
安全でないデータストレージ
端末内への機密データの平文保存、SQLiteデータベースの暗号化不備、ログへの情報漏洩。
- M10
不十分な暗号化
弱い暗号アルゴリズムの使用、ハードコードされた暗号鍵、不適切な鍵管理。
診断の流れ
お問い合わせからレポート提出、改修支援まで一貫してサポートします
01.ヒアリング
対象アプリの概要、プラットフォーム、診断範囲、スケジュールを確認します。
02.診断準備
テスト環境の構築、アプリバイナリの受領、診断項目の最終確認を行います。
03.診断実施
静的解析・動的解析・リバースエンジニアリング耐性テストを実施します。
04.レポート提出
検出した脆弱性の一覧、リスク評価、改修推奨事項をまとめたレポートを提出します。
05.改修支援
レポートに基づく改修方針の提案、実装支援、再診断を行います。
料金プラン
アプリの規模や診断ニーズに合わせて、3つのプランからお選びいただけます
シンプル
基本診断
- 対象: 1プラットフォーム(iOS or Android)
- 静的解析(バイナリ解析)
- OWASP Mobile Top 10 基本チェック
- 診断期間: 約1週間
- 報告会: メール報告
- 脆弱性サマリレポート
エントリー
詳細レポート付き
- 対象: 1プラットフォーム(iOS or Android)
- 静的解析 + 動的解析
- OWASP Mobile Top 10 全項目チェック
- 診断期間: 約2週間
- 報告会: オンライン報告会
- 詳細レポート(改修推奨事項付き)
- サーバサイドAPI基本診断
カスタム
専門家による個別診断
- 対象: iOS + Android 両プラットフォーム
- 静的解析 + 動的解析 + リバースエンジニアリング
- OWASP Mobile Top 10 全項目 + 独自項目
- 診断期間: 要相談
- 報告会: 対面 or オンライン
- 詳細レポート + エグゼクティブサマリ
- サーバサイドAPI詳細診断
- 改修支援・再診断込み
まずはお気軽にご相談ください
スマホアプリのセキュリティ対策について、お客様の課題に合わせた最適なプランをご提案いたします。
関連サービス
LLM脆弱性診断
プロンプトインジェクションから過剰な自律性まで。LLMアプリ固有の脆弱性を、OWASP LLM Top 10 2025 準拠で診断。
WEBアプリケーション脆弱性診断
DAST・SCA・IASTの3手法を組み合わせた多層診断で、稼働中のWebアプリケーション/Web APIに潜む脆弱性を徹底的に検出し、改修支援までワンストップで対応します。
スマホアプリ診断
iOS/Androidアプリを静的解析・動的解析・リバースエンジニアリング耐性テストの3アプローチで診断し、OWASP Mobile Top 10 2024に準拠した網羅的なセキュリティ評価を提供します。
クラウドプラットフォーム診断
AWS・Azure・GCPの設定不備・IAM権限・アクセス制御を専門エンジニアが診断し、クラウドインフラに潜むセキュリティリスクの可視化と最適化を支援します。
ミドルウェア診断
WordPress・Drupal・Movable Type・Joomla・ShareWith・AEMの主要CMSに特化した専門診断で、プラットフォーム固有の脆弱性と設定不備を確実に検出します。
AIホワイトハッカー診断
AIと熟練ホワイトハッカーを組み合わせた第3世代診断「ImmuniWeb®AI Platform」で、OWASP・NIST・PCI DSSなど国内外のガイドラインに準拠した高精度なセキュリティ評価をゼロ誤検知保証で提供します。
エンジニア不足でお悩みの企業様は
お気軽にご相談ください
お気軽にご相談ください
不明点について
相談がしたい
相談がしたい
コウェルのソリューション
がわかる
がわかる
Copyright © 2025 CO-WELL Co., LTD. All rights reserved.