OWASP MAS で堅牢なモバイルアプリを構築する

NowSecureのチーフモビリティオフィサー、ブライアン・リード 

モバイルアプリが インターネット トラフィックの 70% そして消費する モバイル時間の88%収益の向上、顧客とのつながり、製品やサービスの改善につながる洞察の獲得を目指す組織にとって、モバイルアプリは不可欠なものとなっています。同時に、モバイルアプリのトラフィック増加は、セキュリティを最優先に考えない組織のリスクを高めています。そのため、モバイルアプリ開発者は、イノベーションを推進し、ビジネスニーズを満たす、高品質で安全なモバイルアプリを迅速に開発・提供する必要に迫られています。

モバイル脅威環境のリスクを管理するために、 Webを開く Application Security プロジェクト (OWASP) 開発した モバイル Application Security （MAS） モバイルアプリのセキュリティ要件に関する共通基盤を確立するためのフラッグシッププロジェクトです。業界標準の提供に加えて、OWASP MASは、モバイルアプリ開発者、アーキテクト、セキュリティアナリスト、セキュリティエンジニアに対し、開発ライフサイクル全体および本番運用を通じてモバイルアプリのセキュリティを確保するために必要なツール、テクニック、方法論について教育を提供します。

モバイルアプリ開発者は、OWASP MASプロジェクトの主な原則と最も一般的な モバイルアプリのセキュリティ モバイルアプリをセキュリティを念頭に置き、設計、構築、開発、テストを一貫して行えるよう、問題への対応を強化します。OWASP MAS標準を採用している開発者からは、リスクを軽減しながら、パフォーマンス、効率性、リリースの予測可能性の向上が頻繁に報告されています。

OWASP MAS のコアコンポーネント

モバイル アプリのセキュリティを確保したいモバイル アプリ開発者は、OWASP MAS プロジェクトの 3 つの主要コンポーネントを適用する必要があります。

• モバイル Application Security 検証標準（MASVS）OWASPは、モバイルアプリ開発者がAndroidおよびiOSモバイルアプリのセキュリティレベルを適切に維持するために使用できる包括的な要件リストを提供するために、MASVSを作成しました。この要件は、以下の3つの主要な目的を満たしています。
  • ガイダンスとして使用 – モバイル アプリの開発とテストのすべてのフェーズでセキュリティ ガイダンスを提供します。
  • 指標として使用 – 開発者やアプリケーション所有者がモバイル アプリを比較できるセキュリティ標準を提供します。
  • 調達時に使用 – モバイル アプリのセキュリティ検証のベースラインを提供します。
• モバイル Application Security テストガイド（MASTG）このマニュアルは、モバイルアプリ開発者に、安全なコーディングの実践、脅威モデリング、脆弱性評価などに関する技術的なアドバイスを提供し、安全に開発するために必要な基本情報を提供します。 侵入テスト、そしてリスク管理。開発者は、脅威モデリング、侵入テスト、リスク評価などの適切なテスト手法についても学ぶことができます。
• モバイル Application Security (MAS) チェックリストモバイルアプリ開発者は、MASチェックリストにアクセスすることで、MASVSで規定されたすべてのカテゴリでモバイルアプリがテストされていることを確認できます。これらのカテゴリには、アーキテクチャ、設計と脅威モデリング、データストレージとプライバシー、暗号化、認証とセッション管理、ネットワーク通信、プラットフォーム間のやり取り、コード品質、ビルド設定と復元力が含まれます。

知っておくべきモバイルアプリセキュリティの問題

最も効果的な標準ベースのモバイル AppSec 戦略を作成するには、開発者は安全でないモバイル アプリで見つかる最も一般的な問題に精通する必要があります。

• 不適切なデータ保存: NowSecureの調査によると、MASVSでテストされたモバイルアプリの50%が個人識別情報（PII）を不適切に保存していることが判明しました。この問題は、金融や医療など、セキュリティ侵害が深刻な結果につながる可能性のある規制の厳しい業界向けに開発されるモバイルアプリにとって深刻な影響を及ぼします。開発者は、MASVSのデータ保存技術に従って、パスワード、暗号鍵、その他の認証情報を検証する必要があります。さらに、機密データの入力はキャッシュしたり、アプリケーションログに記録したりしてはならず、保存にはネイティブOSの設定を使用する必要があります。
• 弱い暗号化: 開発者は、パイプラインのさまざまな段階でデバッグのために大量の機密データをログに記録することがよくあります。しかし 脅威アクター 高度なツールにアクセスして リバースエンジニア 脆弱なアルゴリズムは、個人情報を容易に盗む機会を生み出します。開発者は、リバースエンジニアリングツールから保護するために、脆弱または時代遅れのファーストパーティおよびサードパーティの暗号アルゴリズムを避け、疑似乱数ジェネレータを導入し、 ホワイトボックス暗号 最大限の保護を実現します。
• 弱い認証とセッション管理: 非アクティブなセッションや無効化されたセッションは、攻撃者がモバイルアプリに侵入するのを容易にします。開発者は、非アクティブなセッションが長時間実行されないようにし、ユーザーがモバイルアプリをバックグラウンドにプッシュした際にデータが秘匿されるようにする必要があります。また、脅威アクターがセッション管理の仕組みを解明し、認証情報を生成する可能性があるため、クライアント側での権限設定や認証は避けるべきです。
• 安全でないネットワーク通信: モバイルアプリとリモートサービスのエンドポイント間の通信が暗号化されていない場合、安全でないネットワークアクティビティによって脅威アクターが個人情報（PII）を傍受することが可能になります。不適切なデータ保存の問題と同様に、安全でないモバイルアプリのネットワーク接続は、規制の厳しい業界のモバイルアプリにとって特に懸念される可能性があります。 証明書の固定 これにより、開発者は通信が意図したサーバーに接続された状態を維持し、機密データが悪意のある人物の手に渡らないようにすることができます。開発者は、さらなる保護のために、AndroidおよびiOS固有のセキュリティAPIとホワイトボックス暗号化も活用する必要があります。
• コード品質とビルド設定が悪い: NowSecureベンチマークテストによると、モバイルアプリの47%にコード品質の問題があり、放置すると重大なセキュリティ侵害につながる可能性があります。これらの問題は、コード内に残されたデバッグシンボルから、検証されていないサードパーティ製ライブラリで発見されたバグまで多岐にわたります。開発者は、自身のコードに欠陥がないか確認するためにセキュアコーディング技術を習得し、サードパーティ製ライブラリを継続的にレビューして更新する必要があります。
• リバースエンジニアリングに対する回復力の欠如: ヘルスケアアプリ、金融サービスアプリ、ゲームアプリは、世界で最も熟練した、執拗な攻撃者による大規模なリバースエンジニアリングの標的となっています。アプリ所有者とビルドエンジニアは、 難読化する オープンソース技術やサードパーティ製ツールを使ってコードを改ざんする。さらに、アプリの所有者やビルドエンジニアは、改ざんを防ぐために、次のような機能を追加する必要がある。 アプリを監視する 最後に、アプリ所有者は、侵害を受けたアプリをシャットダウンするか、少なくともその機能を非推奨にする機能を追加する必要があります。

組織は、開発者が パイプライン全体にわたってMASVS原則を適切に実装する. 統合された自動テストツール 修復のヒントが組み込まれているため、開発者はセキュリティ バグを迅速かつ効率的に解決できます。 ガイド付きテスト 自動テストをバックグラウンドで継続的に実行し、人間のセキュリティアナリストが定期的に介入して、人間の介入を必要とする複雑なセキュリティ機能をテストすることで、手動と自動のセキュリティテストの利点を組み合わせます。さらに、 改ざん防止 導入前に対策を講じることで、リバースエンジニアリングや不正なアクセスの監視を防止し、さらなる保護層を提供します。safe ジェイルブレイク/ルート化されたデバイスやエミュレータなどの環境。 自動化されたポリシーエンジン 開発者がプリプロダクションから展開まで、MASVS に基づく安全な開発原則に準拠することを保証します。

OWASP MASプロジェクトのコアコンポーネントに従うことで、 自動テストツールを活用する, 安全なコーディングを学ぶ 実践、理解 最も一般的なセキュリティ上の欠陥 モバイルアプリ内、そして 回復力を高める開発者は、堅牢なモバイルアプリを構築するために必要なツールとスキルを習得できます。開発者は、NowSecure/Digital.ai MASVS チームアップ: 開発から製品まで堅牢なモバイル セキュリティ の三脚と Digital.aiの短い情報ビデオ 安全なソフトウェアを構築します。

著者について：ブライアン・リードは、NowSecureの最高モビリティ責任者として、モバイル、アプリ、セキュリティ、開発、運用管理の分野で長年の経験を積んでいます。NowSecure、Good Technology、BlackBerry、ZeroFOX、BoxTone、MicroFocus、INTERSOLVなど、Fortune 2000企業のグローバル顧客、モバイル業界の先駆者、政府機関と協業してきました。NowSecureでは、市場開拓戦略、ソリューションポートフォリオ、マーケティングプログラム、業界エコシステム全体を牽引しています。革新的な製品の開発と事業変革に25年以上携わってきたブライアンは、複数のテクノロジー市場と地域にまたがる初期段階および中期段階の企業で確かな実績を誇ります。著名な講演者であり思想的リーダーでもあるブライアンは、ダイナミックな講演と説得力のあるストーリーテラーとして、独自の洞察とグローバルな経験をもたらします。デューク大学卒業。