セキュリティ診断サービス・Critical Hit

「Critical Hit」は、お客様のモバイルアプリケーションを様々な観点から検証し、アプリケーションに存在する潜在的なセキュリティリスクを検知、報告するサービスです。当社の経験豊富な診断員が実際の攻撃者と同じように不正実行を試みた結果に基づいて実証的な検証・分析を行います。

導入事例はこちら ＞

セキュリティ診断が必要となる背景

近年では日本も高度な標的型攻撃のターゲットにされており、様々な業種でサイバー攻撃による被害が増加しています。個人情報の漏洩や金融機関アプリでの不正送金などが連日のようにニュースに取り上げられる昨今、Web アプリやモバイルアプリを含め、インターネットに繋がるあらゆるものが攻撃の脅威にさらされているといえます。とりわけキャッシュレス化の推進によって機能が拡充されている金融系アプリや、テレワークで使用する業務用アプリなどは自ずと秘匿性の高いデータを扱うことから、細心の注意を払ってセキュリティ対策を行う必要があります。

また、いわゆる「フリーミアム」のモデルによってビジネスが成立しているゲームアプリも「チート」という形で攻撃が行われています。これは運営会社のビジネスロジックやゲーム全体のバランスを破壊することに繋がるため検知・対処する必要がありますが、人気タイトルはそれだけ攻撃者が増える傾向にあり、運用で対処するだけでは限界があります。

いずれのアプリでも、どのようにすれば攻撃を防げるのでしょうか。従来ではサーバー側で一元的なセキュリティ対策を行うことが一般的でした。しかし昨今ではサーバーレスなどの新しいフレームワークの普及に伴い、フロントエンド/クライアントサイドに重要な機能があったり、機微なデータが格納されているケースが増加しており、リバースエンジニアリングへの耐性も必要になることがあります。また、通信においては TLS の適用によって中間者攻撃を緩和できることが一般的に知られていますが、ゲームアプリなどでは MATE (Man At The End) 攻撃と呼ばれるエンドユーザー自身による通信の改ざんによって攻撃を受ける恐れがあるため、TLS だけでは対策として不十分です。

さらに、攻撃方法は年々多様化しており、また、プラットフォームやアプリの特性によってその対策方法も多岐にわたるため、その全てをアプリ開発者がキャッチアップし、実装していくことは困難になってきています。

Critical Hit の概要

ゲームや業務情報活用アプリと同じく、コンテンツの閲覧を正規のユーザーのみに許諾する DRM もまたハッキングに対抗しなければならないシステムの典型例といえます。完全な独自開発となる DRM ソリューション「CypherGuard」シリーズを手がける当社がそのノウハウを結集した「Critical Hit」は、ハッカー（攻撃者）からの攻撃を想定した、疑似攻撃型セキュリティ診断です。攻撃者視点で診断を実施し、現状のリスクや対策方法のアドバイスも行います。

■ 特徴

• 当社の経験豊富な診断員が、ハッキングやチートを試みる攻撃者と同じ立場から実際にハッキング・チートを行った結果をレポートします。
• 原理的な問題点の指摘にとどまらず、実際に行われるであろう現実的な被害を伴うハッキングを実証してレポートします。
• アプリが改変されるタイプのハッキングに加えて、サーバーとの通信に干渉するタイプやツールによってメモリを改変するタイプといったハッキング・チートにも対応しています。
• アプリのソースコードを開示していただく必要はなく、アプリのユーザーと同じ立場で診断を行います。
• 問題点の指摘に加えて、具体的な対処方法のご提案も可能です。
• 懸念している脅威シナリオやサイバー攻撃から最適なコースをお選びいただけます。
• Android と iOS の両プラットフォームに対応し、Unity で書かれたゲームアプリにも対応します。
• 本サービスは経済産業省の定めた「情報セキュリティサービス基準」に適合するサービスとして「情報セキュリティサービス基準適合サービスリスト」に掲載されています（脆弱性診断サービス、サービス登録番号: 021-0014-20）。

エンタープライズ向けスマホアプリ診断

特長

• 最新のセキュリティ基準に沿った網羅的な検証
  モバイルアプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP MASTG をベースとした網羅的な診断を行います。
• 経験豊富な診断員による手動診断
  自動ツールだけではなく、経験豊富な診断員が手動で解析を行い、独自の攻撃用スクリプトを作成します。
• 攻撃者視点での脅威シナリオに基づいた評価
  チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。

チート耐性診断

特長

• 最新のセキュリティ基準に沿った網羅的な検証
  リバースエンジニアリング耐性に対する網羅的な検証項目をチェックした上で、ゲームにおいて実際に問題となり得るチートが成立するか検証します。レポートでは診断期間内に成立したチートの再現方法やその対策についてご報告します。
• 豊富な診断実績
  2014 年からゲームアプリの診断を開始し、これまで日本でもトップレベルの人気タイトルを含めた 400 以上のゲームアプリ診断実績があります。
• ゲームアプリ診断のスペシャリストが担当
  CEDECでゲームアプリのセキュリティについて講演したメンバーをはじめ、深い見識を有したスペシャリストがゲームロジックを意識した専門的な診断を行います。

Web アプリ診断

特長

• 最新のセキュリティ基準に沿った網羅的な検証
  Web アプリケーションのセキュリティ診断におけるグローバルスタンダードとなっている OWASP ASVS の検証方法を取り入れた網羅的な診断を行います。
• 経験豊富な診断員による手動診断
  自動診断ツールだけではなく、イスラエルのセキュリティ企業の元で経験を積んだスペシャリストを中心とする診断員が手動で解析、攻撃を行います。
• 攻撃者視点での脅威シナリオに基づいた評価
  チェックシートに沿って原理的な脆弱性を指摘するだけではなく、アプリの脅威シナリオに応じた現実的に想定されるリスクに基づいて評価、報告を行います。
• サーバーレス Web アプリにも対応
  昨今利用が増加しているサーバーレスアーキテクチャの診断に対応しています。

ペネトレーションテスト　※リリース準備中※

特長

• 最新のセキュリティ基準に沿った網羅的な検証
  NIST SP 800-115 に基づいた外部テストを実施します。
• 攻撃者視点での脅威シナリオに基づいた評価
  ダークウェブを含めた情報収集やハッキングデバイスを使ったリモートでの内部侵入テストも実施予定です。

お問い合わせから診断完了までの流れ

※再診断のほか、診断結果の報告会もオプションです。

お客様のセキュリティ要件をヒアリングさせていただき、その内容をベースに最善の診断をご提案致します。詳しくはお問い合わせフォームからお問い合わせくださいませ。

なお、お問い合わせの際は、お問合せ内容と併せて以下のような情報を共有いただけますと幸いです。

■ OS：
■ アプリの概要：
■ アプリの画面数（概算）：
■ 懸念している脅威シナリオやサイバー攻撃など：

導入事例