Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
Search
あんとにー
September 20, 2025
Technology
0
280
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
あんとにー
September 20, 2025
Tweet
Share
Other Decks in Technology
See All in Technology
iOSDJ2025 - Stream Deck Plugin using Swift
hcrane
0
130
プラットフォーム転換期におけるGitHub Copilot活用〜Coding agentがそれを加速するか〜 / Leveraging GitHub Copilot During Platform Transition Periods
aeonpeople
1
280
【NoMapsTECH 2025】AI Edge Computing Workshop
akit37
0
480
データ分析エージェント Socrates の育て方
na0
8
3.8k
組織を巻き込む大規模プラットフォーム移行戦略 〜50+サービスのマルチリージョン・マルチプロダクト化で学んだステークホルダー協働の実践〜 / Platform migration strategy engaging all stakeholders
toshi0607
2
420
AlarmKitで実現する 新時代のシステム通知
tsuzuki817
0
360
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
11
76k
全身画像からコーデアイテムを抽出し毎日にIRODORIを!デバイス完結型アプリを作る
zozotech
PRO
0
100
5000万ダウンロードを超える漫画サービスを支えるログ基盤の設計開発の全て
ldf_tech
0
350
意外と難しいGraphQLのスカラー型
uhyo
4
210
Bedrock AgentCoreで解き放て! Strands Agentsで構築するマルチエージェントの実装Tips
minorun365
PRO
11
1.6k
エンジニアが主導できる組織づくり ー 製品と事業を進化させる体制へのシフト
ueokande
1
150
Featured
See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
830
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Building Adaptive Systems
keathley
43
2.7k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
4 Signs Your Business is Dying
shpigford
185
22k
Docker and Python
trallard
46
3.6k
Statistics for Hackers
jakevdp
799
220k
The Invisible Side of Design
smashingmag
301
51k
Mobile First: as difficult as doing things right
swwweet
224
9.9k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.8k
Transcript
高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1
About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2
Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3
Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】 ・ 実例を交えた対応の流れ 【まとめ】 4
【準備編】 なぜiOSアプリでセキュリティ対応 ? 5
【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6
【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7
【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8
【準備編】リスク 改ざん アプリを書き換えて不正利用 9
【準備編】なぜ今? DX化 10
【準備編】 MASVSとは? 11
【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12
【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13
【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK
MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14
【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15
【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios
【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
【実践編】 18
【実践編】 脅威モデリング とギャップ分析 19
脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認
20
実践例 21
MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22
MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/
MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24
MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は
NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
26 悪い例
27 修正後
28 修正後(全文)
どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸: ・このデータが漏洩したら、、、 ・ユーザに被害が出るか? ・サービスが不正利用されるか? ・規制やコンプライアンス違反につながるか?
29
動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
31 理想 と 現実のギャップ
判断基準は? 32 リスク コスト
まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33
【番外編】 34
静的解析だけでも AIにやらせられない? 35 🤔
試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36
いい感じ👍 37
参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios
MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38
hcrane
aeonpeople
akit37
na0
toshi0607
tsuzuki817
oracle4engineer
zozotech
ldf_tech
uhyo
minorun365
ueokande
tammyeverts
marktimemedia
jcasabona
pedronauck
keathley
chriscoyier
shpigford
trallard
jakevdp
smashingmag
swwweet
palkan
