累計で 1,500 件を超えるアプリを診断してきた経験とノウハウをベースにした、モバイルアプリにおけるセキュリティ診断手法を学べるトレーニングです。モバイルアプリ診断員を目指している方はもちろん、モバイルアプリ診断を依頼する立場の方にもご活用いただけます。

トレーニング効果
  • OWASP MASVS (L1) をベースにしたセキュリティ要件の理解

    一般的なモバイルアプリや機微な情報を取り扱うアプリの基礎的なセキュリティ要件について学習します。これによりモバイルアプリにおいてどのようなセキュリティ要件を満たす必要があるかを理解できるようになります。

  • OWASP MSTG (L1) をベースとした診断手法の理解

    一般的なモバイルアプリや機微な情報を取り扱うアプリの基礎的なセキュリティテスト方法について学びます。これによりモバイルアプリの診断方法が学べ、セキュリティテストを実施したことがない方でも基礎や原理をしっかりと身につけることができます。また、セキュリティ診断のレポートの内容が理解できるようになり、トリアージのためのポイントや再現方法等の理解が深まります。

トレーニング対象者

本トレーニングは、モバイルアプリのセキュリティ診断の内製化を検討しているアプリ開発会社や、診断員の外部研修を検討している企業向けのサービスです。もちろん、モバイルアプリの診断を基礎から学習したい個人の方でもご参加いただけます。次のような方にお勧めです。

  • QAエンジニア

    通常のソフトウェアテストの中でセキュリティに関する検証を取り入れるることができます。

  • モバイルアプリ開発者

    セキュリティを意識した設計、セキュアコーディングや実装のベストプラクティスを学べます。

  • セキュリティテストの導⼊を検討しているマネージャー

    セキュリティテストを外部ベンダーに依頼する際などに、セキュリティ要件や報告されたレポートの内容を理解できるようになります。

  • モバイルアプリ以外のセキュリティテスター

    WEBアプリやネットワークのセキュリティエンジニアがモバイルアプリのセキュリティ診断に守備範囲を広げられます。

トレーニング環境

本トレーニングはオンラインで受講できます。

  • 録画教材の配信ではなく、弊社のモバイルアプリ診断員が毎回トレーナーを務めます。
  • オンサイトでのトレーニングも計画していますが、開始時期は未定です(新型コロナウイルスの状況によります)。

受講時に使用する端末(Android・iPhone・PC)の貸し出しもセットになっていますので、手軽にトレーニングを受けることができます。

診断トレーニングの対象となるアプリ
  • Android向けネイティブアプリ
  • iOS向けネイティブアプリ

トレーニング用のアプリは、ネイティブの実装と WebView による実装等の複数パターンを用意しています。

シラバス

各セッションは座学とハンズオンの2つで構成されています。最終日には弊社が用意したモバイルアプリを対象に診断を実施し、学習の成果を測ることができます。

受講できるセッションの一覧
  • モバイルアプリ診断の概要

    モバイルアプリのソフトウェア開発ライフサイクル、セキュリティ要件、診断項目の概要、セキュリティテストの役割や責任について理解を深めます。

  • ストレージとプライバシー

    モバイルアプリでは複数のストレージが利用できますが、その中には安全なものとそうでないものが混在しています。モバイルアプリにおいてストレージを安全に利用するためのベストプラクティスやその診断技法について、実技を交えて理解を深めていきます。

  • 暗号化

    モバイルアプリにおいては、ストレージへのデータの保存やネットワーク通信、および真正性の検証等さまざまな場面でそれぞれに適した暗号技術を選択・活用する必要があります。ベストプラクティスに沿った利用方法やその診断技法について実技を交えて理解を深めていきます。

  • ネットワーク通信

    モバイルアプリはしばしばオンライン通信を前提としているため、WEBアプリと同様に安全な通信を意識しなければなりません。基本的なネットワークの診断方法だけではカバーできないモバイルアプリ特有の診断テクニック等について学びます。

  • セッション管理と認証

    WEBアプリと同様にモバイルアプリでもユーザーの認証や真正性といった安全性を維持する必要があります。モバイルアプリ特有のベストプラクティスや診断技法について実技を交えて理解を深めていきます。

  • アプリ間連携および WebView とコードインジェクション

    WEBアプリにもあるSQLインジェクションやクロスサイトスクリプティングといったリスクに加え、モバイルアプリ特有のアプリ連携やオブジェクトのデシリアライズについてのベストプラクティスや診断技法について実技を交えて理解を深めていきます。

  • コード品質とアプリの設定

    モバイルアプリにおけるコード品質の向上やリリースビルドにおける設定のベストプラクティスや診断技法について実技を交えて理解を深めていきます。

  • 診断結果の報告

    診断結果のレポートを作成記述するうえで重要な点や問題の深刻度について理解を深め、効果的なレポーティングの方法を学びます。

習得可能な診断技法
  • モバイルアプリの解析ツールによる脆弱性の検出
  • モバイルアプリの逆コンパイル
  • モバイルアプリのAPIフックによる動的解析
  • モバイルアプリのネットワーク通信内容の解析と改変による検証
  • セッショントークンおよび認証トークン不正の検証
  • モバイルアプリ間連携における機能の不正呼び出しの検証
講義日程

日程はご要望に応じて調整可能です。

DAY1
  • 「モバイルアプリ診断の概要」の解説
  • 「ストレージとプライバシー」の解説
  • 「ストレージとプライバシー」のハンズオン
  • 暗号化
  • 暗号化のハンズオン
DAY2
  • 「ネットワーク通信」の解説
  • 「ネットワーク通信」のハンズオン
  • 「セッション管理と認証」の解説
  • 「セッション管理と認証」のハンズオン
DAY3
  • 「アプリ間連携およびWebViewとコードインジェクション」の解説
  • 「アプリ間連携およびWebViewとコードインジェクション」のハンズオン
DAY4
  • 「コード品質とアプリの設定」の解説
  • 「コード品質とアプリの設定」のハンズオン
  • 「診断結果の報告」の解説とハンズオン
DAY5
  • 診断実技
受講要項
期間 5 日間、各日 10:00~19:00 (実施時間はご相談に応じます)
定員 最大 10 名(最小開催人数 3 名)
開催日 ご要望に応じて調整いたします。
料金 1 名あたり 44 万円(税込)
お支払い方法 銀行振込(請求書払い可)
※振込手数料はお客様のご負担となります。
※請求書払いのご利用には弊社所定の審査がございます。
※請求書は電子ファイルにてご受講完了月に送付いたします。
※個人のお客様は前払いでお願いいたします。
ご準備いただくもの ・Zoom が利用可能な PC
・インターネット接続可能なネットワーク環境および Wi-Fi (無線LAN)
※フリー Wi-Fi やモバイル Wi-Fi ルーターでは受講できません。
※トレーニングに使用する機材は貸し出します。

お申し込み・お問い合わせ