Upgrade to Pro — share decks privately, control downloads, hide ads and more …

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for あんとにー あんとにー
September 20, 2025
Technology
0
2.9k

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Avatar for あんとにー

あんとにー

September 20, 2025
Tweet

Other Decks in Technology

See All in Technology
Cosmos World Foundation Model Platform for Physical AI
Avatar for Takuya MINAGAWA takmin
0
980
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
1
530
CDKで始めるTypeScript開発のススメ
Avatar for つくぼし tsukuboshi
1
590
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
Avatar for OQTOPUS oqtopus
0
150
プロダクト成長を支える開発基盤とスケールに伴う課題
Avatar for yuu26 yuu26
4
1.4k
Exadata Fleet Update
Avatar for oracle4engineer oracle4engineer
PRO
0
1.1k
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
Avatar for Riotaro OKADA okdt
PRO
3
850
AWS Network Firewall Proxyを触ってみた
Avatar for nagisa_53 nagisa53
1
250
Agent Skils
Avatar for ディップ株式会社 dip_tech
PRO
0
140
pool.ntp.orgに ⾃宅サーバーで 参加してみたら...
Avatar for Fuminori -Tany- Tanizaki(谷崎文義) tanyorg
0
1.5k
Red Hat OpenStack Services on OpenShift
Avatar for Tatsuya Amemiya tamemiya
0
140
20260208_第66回 コンピュータビジョン勉強会
Avatar for KeiichiIto1978 keiichiito1978
0
200

Featured

See All Featured
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
57
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
440
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
67
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
810
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
0
210
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.6k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
690
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.7k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
650

Transcript

  1. 高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1

  2. About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2

  3. Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3

  4. Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】  ・ 実例を交えた対応の流れ 【まとめ】 4

  5. 【準備編】 なぜiOSアプリでセキュリティ対応 ? 5

  6. 【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6

  7. 【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7

  8. 【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8

  9. 【準備編】リスク 改ざん アプリを書き換えて不正利用 9

  10. 【準備編】なぜ今? DX化 10

  11. 【準備編】 MASVSとは? 11

  12. 【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12

  13. 【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13

  14. 【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK

    MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14

  15. 【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15

  16. 【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios

  17. 【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  18. 【実践編】 18

  19. 【実践編】 脅威モデリング とギャップ分析 19

  20. 脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認

    20

  21. 実践例 21

  22. MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22

  23. MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/

  24. MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24

  25. MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は

    NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  26. 26 悪い例

  27. 27 修正後

  28. 28 修正後(全文)

  29. どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸:  ・このデータが漏洩したら、、、   ・ユーザに被害が出るか?   ・サービスが不正利用されるか?   ・規制やコンプライアンス違反につながるか?   

    29

  30. 動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  31. 31 理想 と 現実のギャップ

  32. 判断基準は? 32 リスク     コスト

  33. まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33

  34. 【番外編】 34

  35. 静的解析だけでも AIにやらせられない? 35 🤔

  36. 試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36

  37. いい感じ👍 37

  38. 参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios

    MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38