Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Avatar for あんとにー あんとにー
September 20, 2025
Technology
0
1.6k

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Avatar for あんとにー

あんとにー

September 20, 2025
Tweet

Other Decks in Technology

See All in Technology
Uncertainty in the LLM era - Science, more than scale
Avatar for Gael Varoquaux gaelvaroquaux
0
510
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
6.1k
Product Engineer
Avatar for Resilire resilire
0
130
私も懇親会は苦手でした ~苦手だからこそ懇親会を楽しむ方法~ / 20251127 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
4
550
著者と読み解くAIエージェント現場導入の勘所 Lancers TechBook#2
Avatar for Shumpei Miyawaki smiyawaki0820
7
2.9k
原理から解き明かす AIと人間の成長 - Progate BAR
Avatar for Teba_eleven teba_eleven
2
300
事業部のプロジェクト進行と開発チームの改善の “時間軸" のすり合わせ
Avatar for konifar konifar
9
2.9k
なぜフロントエンド技術を追うのか?なぜカンファレンスに参加するのか?
Avatar for sakito sakito
9
1.9k
Databricksによるエージェント構築
Avatar for Takaaki Yayoi taka_aki
1
120
バグハンター視点によるサプライチェーンの脆弱性
Avatar for morioka12 scgajge12
2
460
Security Diaries of an Open Source IAM
Avatar for Alexander Schwartz ahus1
0
110
小さな判断で育つ、大きな意思決定力 / 20251204 Takahiro Kinjo
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
300

Featured

See All Featured
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
23k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.3k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
690
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.7k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.1k

Transcript

  1. 高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1

  2. About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2

  3. Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3

  4. Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】  ・ 実例を交えた対応の流れ 【まとめ】 4

  5. 【準備編】 なぜiOSアプリでセキュリティ対応 ? 5

  6. 【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6

  7. 【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7

  8. 【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8

  9. 【準備編】リスク 改ざん アプリを書き換えて不正利用 9

  10. 【準備編】なぜ今? DX化 10

  11. 【準備編】 MASVSとは? 11

  12. 【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12

  13. 【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13

  14. 【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK

    MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14

  15. 【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15

  16. 【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios

  17. 【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  18. 【実践編】 18

  19. 【実践編】 脅威モデリング とギャップ分析 19

  20. 脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認

    20

  21. 実践例 21

  22. MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22

  23. MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/

  24. MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24

  25. MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は

    NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  26. 26 悪い例

  27. 27 修正後

  28. 28 修正後(全文)

  29. どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸:  ・このデータが漏洩したら、、、   ・ユーザに被害が出るか?   ・サービスが不正利用されるか?   ・規制やコンプライアンス違反につながるか?   

    29

  30. 動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  31. 31 理想 と 現実のギャップ

  32. 判断基準は? 32 リスク     コスト

  33. まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33

  34. 【番外編】 34

  35. 静的解析だけでも AIにやらせられない? 35 🤔

  36. 試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36

  37. いい感じ👍 37

  38. 参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios

    MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38