Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
あんとにー
September 20, 2025
Technology
3.2k
0
Share
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
あんとにー
September 20, 2025
Other Decks in Technology
See All in Technology
SLI/SLO、「完全に理解した」から「チョットデキル」へ
maruloop
5
570
Purview Endpoint DLP 動かしてみた
kozakigh
0
440
The Bag-of-Documents Model for Query Understanding and Retrieval
dtunkelang
0
160
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
olmdrd
PRO
0
190
Gaussian Splattingの実用化 - 映像制作への展開
gpuunite_official
0
200
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
100k
React Compiler導入から21ヶ月、いま始めるならこうやる
astatsuya
2
250
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
4.5k
可視化から活用へ — Mesh化・Segmentation・アライメントの研究動向
gpuunite_official
0
230
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
k_adachi_01
6
1.7k
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
mhrtech
0
210
なぜ、私がCommunity Builderに?〜活動期間1か月半でも選出されたワケ〜
yama3133
0
140
Featured
See All Featured
The Spectacular Lies of Maps
axbom
PRO
1
750
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.4k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
410
For a Future-Friendly Web
brad_frost
183
10k
Building the Perfect Custom Keyboard
takai
2
760
Color Theory Basics | Prateek | Gurzu
gurzu
0
310
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
A Soul's Torment
seathinner
6
2.8k
Crafting Experiences
bethany
1
150
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
140
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
300
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
360
Transcript
高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1
About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2
Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3
Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】 ・ 実例を交えた対応の流れ 【まとめ】 4
【準備編】 なぜiOSアプリでセキュリティ対応 ? 5
【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6
【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7
【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8
【準備編】リスク 改ざん アプリを書き換えて不正利用 9
【準備編】なぜ今? DX化 10
【準備編】 MASVSとは? 11
【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12
【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13
【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK
MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14
【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15
【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios
【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
【実践編】 18
【実践編】 脅威モデリング とギャップ分析 19
脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認
20
実践例 21
MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22
MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/
MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24
MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は
NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
26 悪い例
27 修正後
28 修正後(全文)
どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸: ・このデータが漏洩したら、、、 ・ユーザに被害が出るか? ・サービスが不正利用されるか? ・規制やコンプライアンス違反につながるか?
29
動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
31 理想 と 現実のギャップ
判断基準は? 32 リスク コスト
まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33
【番外編】 34
静的解析だけでも AIにやらせられない? 35 🤔
試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36
いい感じ👍 37
参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios
MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38
SiteGround - Reliable hosting with speed, security, and support you can count on.
maruloop
kozakigh
dtunkelang
olmdrd
gpuunite_official
oracle4engineer
astatsuya
sansan33
k_adachi_01
mhrtech
yama3133
axbom
aleyda
marktimemedia
brad_frost
takai
gurzu
denniskardys
seathinner
bethany
techseoconnect
skoyamalab
skipperchong
