こちらは、2019年5月23日に公開された以下のドキュメントを翻訳したものとなります。
Improve your app’s security with these simple coding practices
インターネットユーザーのほとんどが、スマートフォンなどのモバイルで、銀行やショッピングなど多様な取引をしています。取引をモバイル上で実行する流れはまだはじまったばかりで、こういったケースはこれから飛躍的に増えていくことでしょう。今日のインターネットトラフィックのほぼ3/4がモバイルプラットフォームによるもので、これらは機密情報を狙った脅威や攻撃を受けやすいといえます。モバイルアプリの75%がサイバー攻撃に脆弱なため、デジタルスパイによる攻撃が横行しています。どう考えても喜ばしいことではありませんね。複数の側面から一斉に早急な対処をして、先手を打ってはびこるハッキングの脅威からモバイルアプリを守りましょう。これらのセキュリティの抜け穴の多くは、簡単な開発関連プロトコルに従って防ぐことができます!
コードベースを守る
プロアクティブなアプローチの適用が、モバイルエコシステムの脅威と脆弱性に対する確実な方法となります。
コードベースにベストプラクティスを組み込んで、将来的に時代遅れにならないモバイルアプリを開発しましょう。問題をパッチするだけでなく、推奨される広範囲のインパクトソリューションのベンチマークも開発文化としておこなっていきたいことです。このベンチマークは長期的な意味を持ちます。プロアクティブなメソドロジーは、脅威の状況をきちんと理解できるようになり、リスクの最小化につながります。アプリ内で使用される重要なデータの保護には不可欠で、脆弱性にスピーディに対処することができ顧客の信頼を失わずに済みます。進化したサイバーアタックが行われる今日では、アプリ開発とクオリティ分析のプロセスにおいて、アプリデザイン、使いやすさ、機能性に並びセキュリティも重要な焦点となります。アプリケーションが「100%安全だ」と言い切ることはできないにしても、攻撃の際には直接盾となるような何かしらの必要最小限のセキュリティ機能について理解し実装することは面倒なことではありません。ほんの少しの改善で、アプリのパフォーマンスメトリクスを下げることなく、セキュリティに大変効果をもたらします!このメリットは無視しがたいはずです。
開発チームが今すぐに取り入れられるプラクティスのご紹介です:
1.コードの難読化を実装する
リバースエンジニアリング対策にとても効果的なテクニックの1つで、アプリの機能やロジックのフローを難読化し、ハッカーに悪用されやすいエリアを減らします。開発者にはJavaよりもC/C++の使用がお勧めです。C/C++でしたらバイトコードにコンパイルし、解読困難になるからです。デバッガやエミュレータがプロセスにアクセスできないようにし、攻撃者のアクセスをlow levelのランタイムコードに制限します。バイナリファイルの削除も、デバッギング情報が使用できなくなるためリバースエンジニアリングが困難になります。
2.適切なセッション管理とデータ暗号化技術
適切なセッション管理を確保し、ランタイムで各ユーザーがアプリのコアの機能にアクセスする前にユーザー認証します。データの暗号化は常に機密データの管理の質を高めます。ネットワークセキュリティとSHA-256のような強力な暗号アルゴリズムを通して、信頼できるセッションで安全な通信がされていることを常に確認してください。
3.クラッシュレポートライブラリをコードベースと統合する
どんなアプリも、開発フェーズ中に予期しないクラッシュに遭遇する可能性があります。 開発サイクルの間、クラッシュ分析を監視します。これがあるとアプリのセキュアバージョンの展開に役立ちます。アプリがバグだらけだと、確実にハッカーをおびきよせ、アプリ内のビジネスの生命線となる情報やIPに簡単にアクセスを許してしまいます。
4.改ざん対策技術を組み入れる
マルウェアを搭載した、同じ名前を持った悪意のある偽物のアプリは企業の評判を傷つけ顧客の信頼を裏切ります。なので、改ざん対策技術や改ざん検知メカニズムを実装することは不可欠となりました。これらはアプリのインテグリティを保つのに大いに役立ちます。チェックサムを使用して、一致しない場合は悪意のあるアプリの実行を防止します。エミュレータ/デバッガがランタイムで検出された場合は、アプリは実行されるべきではありません。
5.内部データストレージ
できる限り、個人データの保管はアプリ内ではなくデバイス上にするようにします。こうすると、他のアプリが個人データのファイルにアクセスできなくなり、攻撃にあった際にも誤用されることがなくなります。
6.キャッシュ管理
機密データのキャッシュは決して行わず、キャッシュの管理には慎重になってください。どのアプリにもキャッシュコンテンツにアクセス可能なWRITE_EXTERNAL_STORAGEパーミッションがあることから、キャッシュするべきもの、するべきでないものを把握しておくことはとても大切です。
AppSealingと安全なコードアプローチ
AppSealingはRASP(ランタイムアプリケーション自己保護)を搭載しており、ハイエンド攻撃からのアプリの保護に大いに力を発揮します。また、開発プラクティスを完全に保管してエンドツーエンドのセキュリティをアプリに組み込みます。
包括的なソリューションが必要です
さぁ、今すぐ無料トライアルでAppSealingの魔法を直接体験してください!
コメント
0件のコメント
サインインしてコメントを残してください。