Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
あんとにー
September 20, 2025
Technology
0
3.2k
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
あんとにー
September 20, 2025
Tweet
Share
Other Decks in Technology
See All in Technology
Postman v12 で変わる API開発ワークフロー (Postman v12 アップデート) / New API development workflow with Postman v12
yokawasa
0
120
JAWSDAYS2026 [C02] 楽しく学ぼう!AWSとは?AWSの歴史 入門
hiragahh
0
150
Yahoo!ショッピングのレコメンデーション・システムにおけるML実践の一例
lycorptech_jp
PRO
1
210
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
ebibibi
0
120
ランサムウエア対策してますか?やられた時の対策は本当にできてますか?AWSでのリスク分析と対応フローの泥臭いお話。
hootaki
0
130
非情報系研究者へ送る Transformer入門
rishiyama
11
7.4k
AI実装による「レビューボトルネック」を解消する仕様駆動開発(SDD)/ ai-sdd-review-bottleneck
rakus_dev
0
120
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
350
脳内メモリ、思ったより揮発性だった
koutorino
0
340
Shifting from MCP to Skills / ベストプラクティスの変遷を辿る
yamanoku
4
840
DevOpsエージェントで実現する!! AWS Well-Architected(W-A) を実現するシステム設計 / 20260307 Masaki Okuda
shift_evolve
PRO
3
730
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
tbshiki
0
440
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
860
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
76
Building Adaptive Systems
keathley
44
3k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.9k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
199
73k
Utilizing Notion as your number one productivity tool
mfonobong
4
260
Abbi's Birthday
coloredviolet
2
5.3k
ラッコキーワード サービス紹介資料
rakko
1
2.6M
The Language of Interfaces
destraynor
162
26k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
Transcript
高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1
About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2
Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3
Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】 ・ 実例を交えた対応の流れ 【まとめ】 4
【準備編】 なぜiOSアプリでセキュリティ対応 ? 5
【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6
【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7
【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8
【準備編】リスク 改ざん アプリを書き換えて不正利用 9
【準備編】なぜ今? DX化 10
【準備編】 MASVSとは? 11
【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12
【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13
【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK
MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14
【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15
【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios
【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
【実践編】 18
【実践編】 脅威モデリング とギャップ分析 19
脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認
20
実践例 21
MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22
MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/
MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24
MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は
NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
26 悪い例
27 修正後
28 修正後(全文)
どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸: ・このデータが漏洩したら、、、 ・ユーザに被害が出るか? ・サービスが不正利用されるか? ・規制やコンプライアンス違反につながるか?
29
動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
31 理想 と 現実のギャップ
判断基準は? 32 リスク コスト
まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33
【番外編】 34
静的解析だけでも AIにやらせられない? 35 🤔
試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36
いい感じ👍 37
参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios
MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38
yokawasa
hiragahh
lycorptech_jp
ebibibi
hootaki
rishiyama
rakus_dev
jpishikawa
koutorino
yamanoku
shift_evolve
tbshiki
tammyeverts
marketingsoph
keathley
lauravandoore
aleyda
caitiem20
soudai
mfonobong
coloredviolet
rakko
destraynor
inesmontani
