アプリ開発時のセキュリティ対策＆おすすめ診断ツール【2024年最新版】

今回のテーマは、スマホアプリ開発におけるセキュリティ対策。過去に起こったインシデントを参考にしながら、開発時に実践できる基本的な対策や、アプリの脆弱性を診断できるツール・サービスを紹介していきます。

まずお伝えするのは、スマホアプリにおけるスマホアプリの重要性について。十分なセキュリティ対策を行わずにアプリを開発・公開してしまった場合には、どのようなリスクが生まれるのでしょうか。

ここからは、実際に起きたセキュリティ事故を紹介します。

2020年1月に、保育園向けの連絡帳アプリ「ナナポケ」のテスト開発環境が外部からのサイバー攻撃を受け、データベースに登録されていた6,000人以上の個人情報が漏えいしました。

原因として考えられているのは、開発環境の脆弱性。アプリ制作の委託先によって構築された環境が外部からもアクセスできる状態となっており、さらに安易に読み取れるユーザー名・パスワードを使用していたことから、サイバー攻撃の標的になったと言われています。

この事故が発覚した翌日にライクアカデミーは「ナナポケ」のサービスを停止。さらに再発防止策として委託先へ求めるセキュリティ事項や、契約に含むセキュリティ対策条項の見直しを行ったほか、委託先も対象とした個人情報管理に関する研修を実施することになりました。

2020年10月には、イベント管理アプリ「Peatix（ピーティックス）」が海外からの不正アクセスを受け、600万件以上の利用者情報が流出しました。

流出したデータに含まれるのは、利用者の氏名やアカウント名、メールアドレス、パスワードなど。口座情報やカード情報は含まれず、現金の引き出しやクレジットカードの不正利用といった二次被害は起きなかったものの、イベントのチケット販売にアプリを利用していたテレビ局やイベント施設、自治体からも注意喚起が出される事態になりました。

運営元のPeatix lnc.では、翌月にセキュリティ事故に関するプレスリリースを配信した上で専用サポートセンターを開設し、全利用者のパスワードの再設定を必須とする措置をとっています。

2021年1月には、東京ガスが提供するスマートフォン向け恋愛ゲームアプリが外部からの不正アクセスを受け、海外のアダルトサイトへのリンクが貼られるとともに、1万人以上のメールアドレスと登録ニックネームが外部へ流出するというセキュリティ事故が発生しました。

それによって東京ガスはアプリの配信を一時的に停止。第三者による原因調査や再発防止策の実施とあわせて、被害者1人ひとりに対して個別に説明・謝罪を進めていくとのことです。

セキュリティ事故を未然に防ぐためには、どのような対策が必要なのでしょうか？

続いては、アプリ開発時の基本的なセキュリティ対策について紹介します。

もっとも基本的なセキュリティ対策は、「通信データの暗号化」です。SSL、TSLといったプロトコルによってスマホアプリとサーバー間で送受信されるデータを暗号化することで、外部からのデータ読み取り・改ざんのリスクが抑えられます。

データの暗号化とあわせて、ログイン時の2段階認証もアプリ開発において有効なセキュリティ対策です。ID・パスワードによる認証と、セキュリティコードや秘密の質問、静脈・指紋などの生体認証を組み合わせることで、アカウントの乗っ取りを未然に防ぎます。

さらに、パスワードの有効期限を設けてユーザーへ定期的な更新を促せば、よりセキュアなアプリ開発・運営が実現するでしょう。

アプリの利用開始にともなうユーザー登録の際は、求める情報を必要最小限に抑えましょう。

ユーザーにデータを登録させるということは、運営側でそれをしっかりと保管・管理する必要があるということです。情報量が増えるほどに管理は複雑化し、万が一情報が流出してしまった場合には大きなダメージを受けることになります。

「安心・安全に使える」アプリを開発するという点では、できるだけ情報を持たない・入力させないという視点も大切なのではないでしょうか。

ユーザーがより安心・安全に使用できるアプリを開発したいのなら、専用のツールやサービスを利用するのがおすすめです。

続いては、「アイミツ」が厳選した5種類のセキュリティ診断ツール・サービスを紹介します。

「AppChecker」は、アイティーエム（東京都新宿区）が提供している脆弱性診断サービスです。モバイルアプリ全般を対象としており、一般的なアプリだけでなく金融や医療といった機密情報を取り扱う分野でも活用されています。

診断プロセスはツールと手動による2段階方式を採用。独自の自動解析ツールによって静的・動的診断を行った上で、模擬ハッキングを通じて不正アクセスや情報漏洩につながる可能性のある箇所を洗い出していきます。

診断・分析はすべて国際webセキュリティ標準機構による「OWASP Mobile Top10」の基準にもとづいており、不要なパーミッション使用やアプリの異常終了など、ユーザビリティに関わる不備・不具合まで検知することが可能。
レポーティングも含めて最短5営業日というスピーディーな対応も支持をを集める理由ではないでしょうか。

「AnCoLe」は、IPA（独立行政法人 情報処理推進機構）が提供しているAndroidアプリのセキュリティ診断ツールです。「学習」「点検」の2つの機能を実装しており、Windows端末にインストールすることで利用できます。

学習機能では「ファイルのアクセス制限」や「不適切なログ出力」「不必要な権限の取得」など7種のテーマが用意されており、擬似アプリ・攻撃アプリを用いて脆弱性がもたらす被害を体験した上でソースコードの修正方法を学ぶことができます。
一方の点検機能では、実際に開発したアプリのソースコードをツールに読み込むことで、脆弱性・問題点の把握が可能です。

開発スタッフのセキュリティに関する知識やリテラシーを高め、安心・安全のアプリ開発を行いたいという場合にぴったりのツールと言えるでしょう。

「RiskFinder」は、タオソフトウェア（東京都中央区）が提供しているAndroidアプリの脆弱性診断ツールです。

特徴としてあげられるのは、リテラシーを問わず手軽に使用できること。ソースコードが不要で、Androidアプリのファイルをwebブラウザ経由でアップロードするだけで診断が可能です。マルウェアだと誤認識される可能性の高い項目の検出にも対応しているほか、診断結果には検出された脆弱性に対する対処方法も記載されているため、課題解決に何が必要なのかをすぐに把握することができます。
開発を外注したアプリの受け入れ検査や、外部アプリを導入する際のセキュリティ審査に役立てている企業も少なくないようです。

料金プランは3種類で、最安の「パブリッククラウド」プランは初期費用10万円・2年目移行のアカウント維持費7万円（年額）で利用することができます。

セキュリティの専門企業・イエラエセキュリティ（東京都千代田区）によるスマートフォンアプリの脆弱性診断サービスです。Android・iOSの両方に対応しています。

アプリのシステム構成や実装されている機能に関するヒアリングにもとづいて診断項目を策定し、見積もりを提示した上で、ホワイトハッカーとして優れた実績をもつエンジニアが手作業でソースコードの脆弱性や生成ログの内容を確認するなど、顧客企業に寄り添うきめ細かな診断プロセスが特徴です。
解析・診断後のレポートには、セキュリティ全体の総合評価にくわえて、検出された脆弱性の再現手順や具体的な対策方法も記載されています。

実績も豊富で、あるSNS運営会社の案件では、開発段階でローカルファイルの漏洩リスクを検知。ゲームアプリ運営会社の案件では、解析を通じてチート（不正行為）発生の要因も明らかにしました。

「Secure Coding Checker」は、ラック（東京都千代田区）によるセキュリティ診断ツールです。JSSEC（一般社団法人 日本スマートフォンセキュリティ協会）の「Androidアプリのセキュア設計・セキュアコーディングガイド」に沿って、スマホアプリの脆弱性を検出します。

アカウントが発行されればすぐに利用が可能で、契約期間内であれば回数の上限なく検査を行うことができるため、設計やコーディングなどと並行しながら余裕をもってセキュリティ対策が進められます。
また、1アプリあたり1,000件の検査履歴が保管できるため、ローンチ後の機能追加や別のアプリ開発の際にも役立つでしょう。

ある大手通信会社では、「Secure Coding Checker」の導入ことによってセキュリティチェックの工数が大幅に軽減し、限られたリソースで複数のアプリを一元管理できるようになりました。

つづいては、アプリ開発を外注した際にかかる費用相場をご紹介します。

アプリ開発の費用相場をご紹介しました。より正確な費用を知りたい方は料金シミュレーターをご利用ください。

本記事では、スマホアプリ開発におけるセキュリティ対策をテーマに、基本的な施策やおすすめのセキュリティ診断ツール・サービスなどを紹介してきました。

なお、「アイミツ」ではみなさまからのご相談を無料で承っています。「診断ツールやサービスについてもっと詳しく知りたい」という方や、「セキュリティ対策のしっかりしたアプリ開発会社を探している」といった方は、お気軽にお問い合わせください。