モバイルサイトに対するセキュリティ検査の必要性
携帯電話に様々な機能が追加され、多くの企業が携帯電話用のサービスを提供する中、サービスを提供する携帯電話専用のWebサイト(モバイルサイト)の実装が多様で、多くのサイトが不十分なセキュリティで運用されています。
これは、各キャリアが携帯電話のIPネットワークやWebブラウザに対し、可用性・利便性を重視した独自の拡張や制限を実装したために、携帯電話特有のセキュリティ上の問題(脆弱性)が生まれたことが原因です。さらに、携帯電話の詳細な仕様が非公開で、セキュアなモバイルサイトの実装が不明瞭であることも追い打ちをかけています。
また一方で、モバイルサイトへのアクセスは携帯電話からのみで、携帯電話での操作では脆弱性を悪用する手段がないため対策は不要といった考えも聞かれます。
このような脆弱な環境では、様々なリスクが考えられます。
モバイルサイトのリスク
PC及び携帯電話からモバイルサイトに対し、従来のWebアプリケーションに対する検査項目(SQL インジェクション等)にモバイルサイト専用の検査項目(DNS リバイディング等)を追加し、手作業による検査を行います。
検査項目
モバイルサイト専用の検査を行う関係上、基本的に弊社からモバイルサイトに対し、インターネットを経由するリモート検査を実施しますが、従来のWebアプリケーションの検査項目については社内ネットワーク経由のオンサイト検査も可能です。
モバイルサイトセキュリティ診断イメージ
モバイルサイトセキュリティ診断サービスを利用していただくことにより、下記のメリットがあります。
■セキュリティレベルの向上
モバイルサイトに内在する脆弱性を洗い出すことで、モバイルサイトのセキュリティレベルが向上し、ユーザーが安心して利用できるセキュアなモバイルサイトを提供することができます。
■モバイルサイト専用の検査を実施
モバイルサイト専用の検査を実施することにより、従来のWebアプリケーションに内在する脆弱性とは異なるモバイルサイトに特化した脆弱性を検出することが可能です。
キャリアの制約はありますか?
docomo、au、SoftBankからのアクセスに対応しています。
検査には携帯電話を使用しますか?
携帯電話とパソコンの両方を使用し検査します。
SQLインジェクションのような従来の脆弱性の検出は可能ですか?
はい、従来のWebアプリケーション検査も実施しますので、検出可能です。