Upgrade to Pro — share decks privately, control downloads, hide ads and more …

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for あんとにー あんとにー
September 20, 2025
Technology
0
2.7k

高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見

Avatar for あんとにー

あんとにー

September 20, 2025
Tweet

Other Decks in Technology

See All in Technology
エンジニアとして長く走るために気づいた2つのこと_大賀愛一郎
Avatar for oga_aiichiro nanaism
1
250
AWS監視を「もっと楽する」ために
Avatar for Uechi Shingo uechishingo
0
430
【northernforce#54】SalesforceにおけるAgentforceの位置づけ・事例紹介
Avatar for YutoSato yutosatou_kit
0
130
Azure SQL Databaseでベクター検索を活用しよう
Avatar for なかしょ nakasho
0
120
Data Intelligence on Lakehouse Paradigm
Avatar for Scott Hsieh scotthsieh825
0
200
習慣とAIと環境 — 技術探求を続ける3つの鍵
Avatar for azukiazusa azukiazusa1
3
790
新規事業における「一部だけどコア」な
AI精度改善の優先順位づけ
Avatar for Higuchi kokoro zerebom
0
320
Lambda Durable FunctionsでStep Functionsの代わりはできるのかを試してみた
Avatar for Makky12 smt7174
2
140
【5分でわかる】セーフィー エンジニア向け会社紹介
Avatar for Safie safie_recruit
0
41k
Riverpod3.xで実現する実践的UI実装
Avatar for Fumiya Sakai fumiyasac0921
2
340
20260120 Amazon VPC のパブリックサブネットを無くしたい!
Avatar for Masaru Ogura masaruogura
2
160
開発メンバーが語るFindy Conferenceの裏側とこれから
Avatar for sontixyou sontixyou
2
250

Featured

See All Featured
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
120
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.2k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
1
430
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
31k
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
2.1M
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
2.9k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.5k

Transcript

  1. 高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1

  2. About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2

  3. Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3

  4. Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】  ・ 実例を交えた対応の流れ 【まとめ】 4

  5. 【準備編】 なぜiOSアプリでセキュリティ対応 ? 5

  6. 【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6

  7. 【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7

  8. 【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8

  9. 【準備編】リスク 改ざん アプリを書き換えて不正利用 9

  10. 【準備編】なぜ今? DX化 10

  11. 【準備編】 MASVSとは? 11

  12. 【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12

  13. 【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13

  14. 【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK

    MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14

  15. 【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15

  16. 【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios

  17. 【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  18. 【実践編】 18

  19. 【実践編】 脅威モデリング とギャップ分析 19

  20. 脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認

    20

  21. 実践例 21

  22. MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22

  23. MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/

  24. MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24

  25. MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は

    NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  26. 26 悪い例

  27. 27 修正後

  28. 28 修正後(全文)

  29. どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸:  ・このデータが漏洩したら、、、   ・ユーザに被害が出るか?   ・サービスが不正利用されるか?   ・規制やコンプライアンス違反につながるか?   

    29

  30. 動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/

  31. 31 理想 と 現実のギャップ

  32. 判断基準は? 32 リスク     コスト

  33. まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33

  34. 【番外編】 34

  35. 静的解析だけでも AIにやらせられない? 35 🤔

  36. 試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36

  37. いい感じ👍 37

  38. 参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios

    MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38