モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開

こんにちは。セキュリティ診断部の三井宏弥です。このたび、OWASP Mobile Application Security Verification Standard 1.0（以下、MASVS）の日本語訳をGitHubで公開しました。

これは、今年3月15日にLAC WATCHで公開したMobile Top 10の日本語訳 ^＊1 に続く、ラック有志による翻訳第2弾です。

MASVSは、モバイルアプリケーションの設計や開発、テストをするときに必要とされるセキュリティ要件のフレームワークを定めたドキュメントで、OWASP Mobile Security Testing Guide の姉妹プロジェクトです。MASVSについては、詳しく紹介した記事を過去に公開していますので、併せてご覧ください ^*2。

MASVS にも記述されていますが、モバイルアプリケーションはWebアプリケーションとは異なるものであり、全く別のセキュリティ要件が必要となります。そこで、モバイルアプリケーションの開発やテストを行う企業・エンジニアの皆さんの参考になればと考え、MASVSの日本語訳を行いました。

OWASP MASVS とは

OWASP MASVSは、モバイルアプリケーションの基準となるセキュリティ要件を定めており、下記を含む多くの場面・用途で役立ちます。

• SDLC：ソリューションアーキテクトや開発者が従うべきセキュリティ要件の確立
• モバイルアプリケーションのペネトレーションテスト：モバイルアプリケーションのペネトレーションテストの完全性と一貫性の保証
• 調達：モバイルアプリケーションのセキュリティの物差し（ベンダー向けのアンケートなど）

OWASP MASVS 1.0は2018年1月にリリースされました。要件の一覧は以下の通りです。
各要件の詳細は、公開したMASVSの日本語訳をご覧ください。

• V1 ： Architecture, Design and Threat Modeling Requirements
   （アーキテクチャ、設計、脅威モデリングに関する要件）
• V2 ： Data Storage and Privacy Requirements
   （データストレージとプライバシーに関する要件）
• V3 ： Cryptography Requirements
   （暗号に関する要件）
• V4 ： Authentication and Session Management Requirements
   （認証とセッション管理に関する要件）
• V5 ： Network Communication Requirements
   （ネットワーク通信に関する要件）
• V6 ： Platform Interaction Requirements
   （プラットフォーム相互作用に関する要件）
• V7 ： Code Quality and Build Setting Requirements
   （コード品質とビルド設定に関する要件）
• V8 ： Resilience Requirements
   （リバースエンジニアリングへの耐性に関する要件）

MASVS におけるセキュリティ検証レベル

モバイルアプリケーションには金融、ゲーム、ヘルスケアなど様々なものが存在しており、アプリケーションによって要求されるセキュリティやリバースエンジニアリングへの耐性の程度は異なります。そこでMASVSでは、2つのセキュリティレベル（L1及びL2）が定義されています。MASVS-L1は全てのモバイルアプリケーションを、MASVS-L2は機密情報を取り扱うモバイルアプリケーションを対象としています。また、エンドユーザが悪意を持っている場合や、モバイルOSが脆弱であるといった場合における、特定のクライアントサイドの脅威を防ぐことができるMASVS-Rも次のように定義されています。

MASVS-L1：標準のセキュリティ

MASVS-L1を満たすモバイルアプリケーションは、モバイルアプリケーションセキュリティのベストプラクティスに準拠します。すなわち、コード品質、機密情報の取り扱い、そしてモバイル環境との相互作用において基礎的な要件を満たします。試験工程は、セキュリティ制御を検証する段階で必要です。このL1は全てのモバイルアプリケーションに適用されます。

MASVS-L2：多層防御

MASVS-L2 は、標準的な要求を超える最新のセキュリティ制御を導入します。脅威モデルが存在するか、セキュリティがアプリケーションのアーキテクチャ及び設計において必要不可欠なものである場合には、L2を満たす必要があります。L2はモバイルバンキングなどの機密データを取り扱うアプリケーションについて適用されます。

MASVS-R：リバースエンジニアリングと改ざんに対する耐性

最先端のセキュリティを備えるアプリケーションは、詳細かつ明確なクライアントサイドの攻撃、例えば重要なコードやデータを抽出するために行われるテンペスト攻撃やモデリング・リバースエンジニアリングに対する耐性も有しています。このようなアプリケーションは、ハードウェアのセキュリティ機能や十分に強力かつ信頼できるソフトフェア保護技術を活用しています。MASVS-Rは、高度に重要なデータを扱うアプリケーションに適用され、また情報資産を保護し、アプリケーションの改ざんを防止する手段として役立ちます。

上記3つの検証レベルを組み合わせてMASVS-L1、MASVS-L2、MASVS-L1+R、MASVS-L2+Rの4つの検証方式を利用することが可能です。

MASVS-L1は、全てのモバイルアプリケーションに適用されます。MASVS-L2は、クレジットカードや個人情報などの重要な情報へのアクセス、又は資産の移動をユーザに許可しているアプリケーションに適用されます。MASVS-L1+Rは、対戦型のオンラインゲームなどに適用されます。MASVS-L2+Rは、デバイスに重要なデータを保存し、なおかつ幅広い機種及びOSをサポートしなければならないアプリケーションに適用されます。

おわりに

今回公開したMASVSの日本語訳を、読者の皆さんのセキュアなモバイルアプリケーションの開発に役立てていただければと思います。 またラックでは、Webアプリケーションやプラットフォームに対するセキュリティ診断の他にも、スマートフォンをはじめとしたスマートデバイスで動作するモバイルアプリケーションのセキュリティ診断を実施していますので、モバイルアプリケーションをリリースする前のセキュリティ対策の確認にぜひご検討ください。