-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
テクノロジーリスクコンサルティング部の安田です。
⼀般社団法人スマートフォンセキュリティ協会(JSSEC)が公開するセキュアコーディングガイドに準拠してモバイルアプリの問題点を自分で発見し、安全なアプリに修正する「モバイルアプリケーションセキュリティ対策手順書」を、2023年9月に公開しました。その後、読者の方からAndroidアプリだけではなく、iOSアプリも実際に自分で直してみたいという声をいただきました。
iOSアプリのサイドローディングの義務化
ラックにiOSアプリのセキュリティについてお問い合わせをいただくことが増えただけでなく、iOSアプリのサイドローディングの義務化が懸念されており、iOSアプリの開発時にもセキュア設計の原則を実践できないかという相談を受けています。
サイドローディングの義務化による問題
サイドローディングとは、公式のApp Storeを経由せずにアプリケーションをデバイスにインストールする方法で、日本政府が米Appleへ要請しているものです。これは一般的には開発者やテスターがアプリケーションをテストするために使用していますが、攻撃者が不正なアプリケーションを配布するために使用する可能性があります。
iOSアプリケーションをインストールするユーザーへの問題点
公式のApp Storeは、ユーザーを保護するための一定のガイドラインと規制を設けています。しかし、サイドローディングの義務化が米Appleに受け入れられた場合、これらの保護措置が弱まる可能性があります。そのため、サイドローディングにより配布されるアプリケーションにはマルウェアが含まれるなど、ユーザーが不正なアプリケーションをインストールするリスクが高まり、ユーザーのデバイスやデータを危険にさらす恐れがあります。
また、公式のApp Storeを経由せずにインストールされたアプリケーションは、最新のセキュリティアップデートやパッチを受け取ることができません。これにより、既知の脆弱性を悪用されるリスクが増加します。サイドローディングの義務化は、開発者が自身のアプリケーションを直接ユーザーに提供できるようにするためにフェアな競争環境が得られますが、同時に一定のリスクが伴います。
iOSアプリケーション開発者への問題点
iOSアプリケーション開発では、Androidアプリの開発と同様に、データ保護、通信の安全性、プライバシーなどのセキュリティ課題に対処することが重要です。また、サイドローディングは便利な仕組みである一方で、前述の通り、不正なアプリケーションのインストールやセキュリティアップデートの欠如といった問題を引き起こす恐れがあります。さらに、サイドローディングの義務化は新たなリスクをもたらす可能性があります。
これらの課題を解決するためには、開発者は最初からセキュリティを考慮し、アプリケーションのライフサイクル全体でそれを維持する必要があります。これには、セキュアなコーディングプラクティスの採用、定期的な問題点の検出の実施、エンドユーザーへの適切な教育などが必要です。
そのために、アプリ開発者と業界全体が協力してセキュリティスタンダードを高め、ユーザーのデータとプライバシーを保護することが求められています。
モバイルアプリケーションセキュリティ対策手順書~iOS編
そこで、実際にiOSのサンプルアプリを開発し、問題点を修正する手順書「モバイルアプリケーションセキュリティ対策手順書~iOS編」を公開しました。
今回の手順書では、Open Web Application Security Project(以下、OWASP)が公開するセキュアコーディングガイド(Mobile Application Security Design Guide:以下、MASDG)に準拠してモバイルアプリの問題点を自身で発見し、安全なアプリに修正する流れを解説しています。
※ Mobile Application Security Design Guide | OWASP Foundation
手順書では、修正する流れを体感できるようにXcodeで開発されたサンプルコードを使用し、MASDGのセキュアコーディングガイドに準拠しているかどうか、Secure Coding Checkerを使用して確認していきます。サンプルコードには問題点が含まれていますが、Secure Coding Checkerが問題点を検出し修正内容をガイドするため、容易に開発者自身でサンプルコードを修正し、アプリから問題点を無くすことを体験できます。
手順書で使用したシステム環境等
- MASDG セキュアコーディングガイド 2023年4月1日版
- Xcode 14
- SWIFTプログラミング言語
- Secure Coding Checker Version 2023.06.07
ぜひ、自身で手を動かしながらモバイルアプリの問題点を検出し、安全なモバイルアプリ開発に取り組んでみてください。
ホワイトペーパー
「モバイルアプリケーションセキュリティ対策手順書~iOS編」
のダウンロードはこちらから
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR