Upgrade to Pro — share decks privately, control downloads, hide ads and more …

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for あんとにー あんとにー
September 20, 2025
Technology
0
2.7k

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Avatar for あんとにー

あんとにー

September 20, 2025
Tweet

Other Decks in Technology

See All in Technology
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
23k
人はいかにして 確率的な挙動を 受け入れていくのか
Avatar for vaaaaanquish vaaaaanquish
4
2.8k
漸進的過負荷の原則
Avatar for SansanTech sansantech
PRO
3
410
かわいい身体と声を持つ そういうものに私はなりたい
Avatar for よしむら@データマネジメント担当 yoshimura_datam
0
530
全員が「作り手」になる。職能の壁を溶かすプロトタイプ開発。
Avatar for hokuto hokuo
1
590
Claude Codeベストプラクティスまとめ
Avatar for みのるん minorun365
50
27k
AWS監視を「もっと楽する」ために
Avatar for Uechi Shingo uechishingo
0
430
AI時代のPMに求められるのは 「Ops」と「Enablement」
Avatar for Yutaro Shimoda shimotaroo
1
340
持続可能な開発のためのミニマリズム
Avatar for SansanTech sansantech
PRO
4
590
AI開発の落とし穴 〜馬には乗ってみよAIには添うてみよ〜
Avatar for SansanTech sansantech
PRO
9
4.4k
EventBridge API Destination × AgentCore Runtimeで実現するLambdaレスなイベント駆動エージェント
Avatar for Har1101 har1101
7
260
Vitest Highlights in Angular
Avatar for Rainer Hahnekamp rainerhahnekamp
0
100

Featured

See All Featured
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.4k
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
0
1.9k
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
4.6k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
7.8k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
0
97
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
1
220
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
Between Models and Reality
Avatar for mayunak mayunak
1
170
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
52k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
57

Transcript

  1. 高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1

  2. About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2

  3. Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3

  4. Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】  ・ 実例を交えた対応の流れ 【まとめ】 4

  5. 【準備編】 なぜiOSアプリでセキュリティ対応 ? 5

  6. 【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6

  7. 【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7

  8. 【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8

  9. 【準備編】リスク 改ざん アプリを書き換えて不正利用 9

  10. 【準備編】なぜ今? DX化 10

  11. 【準備編】 MASVSとは? 11

  12. 【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12

  13. 【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13

  14. 【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK

    MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14

  15. 【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15

  16. 【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios

  17. 【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  18. 【実践編】 18

  19. 【実践編】 脅威モデリング とギャップ分析 19

  20. 脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認

    20

  21. 実践例 21

  22. MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22

  23. MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/

  24. MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24

  25. MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は

    NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  26. 26 悪い例

  27. 27 修正後

  28. 28 修正後(全文)

  29. どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸:  ・このデータが漏洩したら、、、   ・ユーザに被害が出るか?   ・サービスが不正利用されるか?   ・規制やコンプライアンス違反につながるか?   

    29

  30. 動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  31. 31 理想 と 現実のギャップ

  32. 判断基準は? 32 リスク     コスト

  33. まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33

  34. 【番外編】 34

  35. 静的解析だけでも AIにやらせられない? 35 🤔

  36. 試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36

  37. いい感じ👍 37

  38. 参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios

    MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38