モバイルセキュリティ

はじめに

• 本カリキュラムの概要

  本カリキュラムは、開発におけるセキュリティを意識した、開発現場での資材管理や、モバイルアプリを実装上の注意点を学習するための教材です。

• 本カリキュラムの使用方法

  基本的には、読み物ベースで、セキュリティ上の重要な概念や具体的な注意点を学習する形式になっています。特にコーディングに関しては、具体的な適用の仕方は対象プロジェクトにより千差万別のため、具体的なサンプルコードは控えめにしています。

• 本カリキュラムの対象者

  本カリキュラムは、Kotlin及びSwiftの言語理解があり、AndroidもしくはiOSのアプリ開発経験がある方が対象となります。
  対象外の方でも読み物として使うことは可能ですが、深い理解を得る為にも、
  上記の条件を満たすことが望ましいです。

• 各項目の説明

  • 開発現場でのセキュリティガイドライン
    開発現場でのセキュリティを意識した資材管理を学習する項目です。
    基本的には資材の管理の流出原因となりうる注意点を記載しています。
  • モバイルのセキュリティガイドライン
    モバイル開発をする上で、セキュリティを意識した実装の際の考え方を学習する項目です。
    OS間共通/iOS/Androidをそれぞれ学習します。

開発現場でのセキュリティガイドライン

ソースコードとドキュメントの管理

Gitと流出対策

• プライベートリポジトリ
• SSHの使用

その他の流出経路

• メール/SNS
• 外部記憶装置
• フリーWi-Fi
• ショルダーハッキング
• 外部サイト/フリーソフト

モバイルのセキュリティガイドライン

OS間共通

• 数値型のオーバーフロー対策
• クラッシュレポート
• プライバシーポリシーの表示
• 一時ファイルの削除
• 強制アップデート機能
• 証明書の情報の公開情報のリスク対策
• スナップショット機能と対策
• クリップボード機能と対策
• HTTP/HTTPS
• SSL証明書
• 重要情報の保存・暗号化
• ログ出力
• ハッシュアルゴリズム
• パスワードのマスキング表示
• ユーザー入力値のエスケープ

iOS

• 通信データのキャッシュによる漏洩

Android

• 連打・マルチタップ
• プログラムの難読化