Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
Search
あんとにー
September 20, 2025
Technology
0
970
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
あんとにー
September 20, 2025
Tweet
Share
Other Decks in Technology
See All in Technology
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
shuta13
3
250
AIエージェントによる業務効率化への飽くなき挑戦 -AWS上の実開発事例から学んだ効果、現実そしてギャップ-
nasuvitz
5
1.6k
Observability — Extending Into Incident Response
nari_ex
2
730
新米エンジニアをTech Leadに任命する ー 成長を支える挑戦的な人と組織のマネジメント
naopr
1
340
20251102 WordCamp Kansai 2025
chiilog
1
480
AWSが好きすぎて、41歳でエンジニアになり、AAIを経由してAWSパートナー企業に入った話
yama3133
2
220
プロダクト開発と社内データ活用での、BI×AIの現在地 / Data_Findy
sansan_randd
1
760
ラスベガスの歩き方 2025年版(re:Invent 事前勉強会)
junjikoide
0
840
IBC 2025 動画技術関連レポート / IBC 2025 Report
cyberagentdevelopers
PRO
2
240
InsightX 会社説明資料/ Company deck
insightx
0
180
ソースを読む時の思考プロセスの例-MkDocs
sat
PRO
1
360
abema-trace-sampling-observability-cost-optimization
tetsuya28
0
440
Featured
See All Featured
Context Engineering - Making Every Token Count
addyosmani
8
330
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.7k
Building Applications with DynamoDB
mza
96
6.7k
Large-scale JavaScript Application Architecture
addyosmani
514
110k
The Pragmatic Product Professional
lauravandoore
36
7k
Rails Girls Zürich Keynote
gr2m
95
14k
How STYLIGHT went responsive
nonsquared
100
5.9k
Embracing the Ebb and Flow
colly
88
4.9k
Into the Great Unknown - MozCon
thekraken
40
2.1k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
Transcript
高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1
About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2
Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3
Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】 ・ 実例を交えた対応の流れ 【まとめ】 4
【準備編】 なぜiOSアプリでセキュリティ対応 ? 5
【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6
【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7
【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8
【準備編】リスク 改ざん アプリを書き換えて不正利用 9
【準備編】なぜ今? DX化 10
【準備編】 MASVSとは? 11
【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12
【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13
【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK
MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14
【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15
【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios
【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
【実践編】 18
【実践編】 脅威モデリング とギャップ分析 19
脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認
20
実践例 21
MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22
MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/
MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24
MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は
NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
26 悪い例
27 修正後
28 修正後(全文)
どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸: ・このデータが漏洩したら、、、 ・ユーザに被害が出るか? ・サービスが不正利用されるか? ・規制やコンプライアンス違反につながるか?
29
動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
31 理想 と 現実のギャップ
判断基準は? 32 リスク コスト
まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33
【番外編】 34
静的解析だけでも AIにやらせられない? 35 🤔
試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36
いい感じ👍 37
参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios
MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38
shuta13
nasuvitz
nari_ex
naopr
chiilog
yama3133
sansan_randd
junjikoide
cyberagentdevelopers
insightx
sat
tetsuya28
addyosmani
cassininazir
eileencodes
mza
lauravandoore
gr2m
nonsquared
colly
thekraken
marktimemedia
