Question 1

範囲を定義する

Accepted Answer

モバイルアプリのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。
質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。

具体例.
 • 組織のどのアプリケーションをスキャン/テストするかを決定する
 • 評価の除外箇所を確認する (特定のページ)
 • 公式テスト期間の決定とタイムゾーンの確認

Question 2

情報収集

Accepted Answer

当社のエンジニアが、様々な公開情報やセキュリティ専門家による脆弱性リスト（OWASP Top 10など）を使って、あなたの会社やサービスについて可能な限り多くの情報を集めます。
この情報収集は、あなたの会社の状況を理解し、セキュリティ上のリスクを正確に把握するために非常に重要です。

収集される情報例：
1. Googleで見つかった、誤って公開されているPDFや文書ファイル
2. 過去に起きたデータ漏洩の記録
3. 開発者が公開フォーラムに投稿した情報
4. ウェブサイトの設定ファイル（robots.txt）の内容

Question 3

リストアップ

Accepted Answer

より高度な情報収集のために自動化されたツールとスクリプトを活用します。想定されるあらゆる攻撃手法を綿密に調査します。ここで集めた情報は、次の段階での効果的なセキュリティ対策立案の基礎となります。

収集する情報例.
・ディレクトリ/サブドメインの列挙
・クラウド サービスの構成ミスの可能性を確認する
既知の脆弱性とアプリケーションおよび関連サービスの関連付け

Question 4

攻撃と侵入

Accepted Answer

見つかった脆弱性を実際に攻撃してみることで、その危険性を確認します。安全かつ制御された方法でテストを行いますのでご安心ください。

以下想定テスト例.
SQLインジェクションやクロスサイトスクリプティング（XSS）
Webアプリケーションが外部からのデータ入力をどのように処理するかを試みます。

認証システムへの攻撃
盗まれたログイン情報やブルートフォースツールを使って、認証メカニズムを試します。

アプリケーション機能の監視
不安全な通信方法や機能が利用されていないか確認します。

Question 5

レポート作成

Accepted Answer

集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。
このレポートは、アプリ全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。

Question 6

修復テスト

Accepted Answer

さらに、お客様のご要望に応じて、セキュリティ対策の実施や、
セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。

追加の確認例：
1. 対策が適切に実施されているかを確認する
2. 以前に見つかった問題点が解決されているかを確認する
3. 新しい安全な状態を反映した報告書を作成する

この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。

モバイルペネトレーションテスト

シースリーレーヴの
モバイルペネトレーションテストが選ばれる理由