Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
Search
あんとにー
September 20, 2025
Technology
0
3.2k
高セキュリティ要件を満たすためのiOSアプリ開発:MASVS v2.0.0対応から学ぶ実践知見
あんとにー
September 20, 2025
Tweet
Share
Other Decks in Technology
See All in Technology
新職業『オーケストレーター』誕生 — エージェント10体を同時に回すAgentOps
gunta
4
1.7k
Kubernetesにおける推論基盤
ry
1
260
ナレッジワーク IT情報系キャリア研究セッション資料(情報処理学会 第88回全国大会 )
kworkdev
PRO
0
160
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
zigorou
4
820
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
shoki_hata
0
2.9k
クラウド × シリコンの Mashup - AWS チップ開発で広がる AI 基盤の選択肢
htokoyo
2
150
Claude Codeの進化と各機能の活かし方
oikon48
21
11k
型を書かないRuby開発への挑戦
riseshia
0
210
DX Improvement at Scale
ntk1000
3
450
技術的負債の泥沼から組織を救う3つの転換点
nwiizo
8
3.4k
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
taka_aki
0
370
[JAWS DAYS 2026]私の AWS DevOps Agent 推しポイント
furuton
0
130
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
304
21k
HDC tutorial
michielstock
1
520
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
480
Designing Experiences People Love
moore
143
24k
Everyday Curiosity
cassininazir
0
160
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Are puppies a ranking factor?
jonoalderson
1
3.1k
Faster Mobile Websites
deanohume
310
31k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
280
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
190
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
The browser strikes back
jonoalderson
0
770
Transcript
高セキュリティ要件を満たす ためのiOSアプリ開発 あんとにー @iOSDC2025 day1 MASVS v2.0.0対応から学ぶ実践知見 1
About Me 神原 良継(あんとにー ) 2023年サイバーエージェント新卒入社 タップルの iOSエンジニア #愛車のIoT化 2
Today’s Goals 皆様のiOSアプリがセキュリティ要件 を 満たしているかチェックが始められる! 🥳 3
Contents 【準備編】 ・なぜiOSアプリでセキュリティ対応? ・ MASVSとは? 【実践編】 ・ 実例を交えた対応の流れ 【まとめ】 4
【準備編】 なぜiOSアプリでセキュリティ対応 ? 5
【準備編】なぜ iOSアプリでセキュリティ対応 ? 通信やクラウドだけじゃない モバイルクライアント も攻撃対象 6
【準備編】リスク iPhoneの紛失・盗難 バックアップや保存データから漏洩 7
【準備編】リスク クリップボード経由 入力したパスワードが他アプリに 8
【準備編】リスク 改ざん アプリを書き換えて不正利用 9
【準備編】なぜ今? DX化 10
【準備編】 MASVSとは? 11
【準備編】 MASVSとは? OWASP MAS(Mobile Application Security) https://mas.owasp.org/ 12
【準備編】 MASVSとは? MASVS:セキュリティ要件の標準 MASTG:テスト方法のガイド MASWE:モバイルにおける弱点リスト MAS Checklist:検証チェックリスト 13
【準備編】 MASVSとは? MASVS- STORAGE MASVS- CRYPTO MASVS- AUTH MASVS- NETWORK
MASVS- PLATFORM MASVS- Code Quality MASVS- RESILIENCE MASVS- Privacy https://mas.owasp.org/MASVS/ 14
【準備編】MAS Checklist https://mas.owasp.org/checklists/MASVS-STORAGE/#ios 15
【準備編】MAS Checklist 16 https://mas.owasp.org/checklists/MASVS-STORAGE/#ios
【準備編】MAS Checklist 17 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
【実践編】 18
【実践編】 脅威モデリング とギャップ分析 19
脅威モデリング とギャップ分析 脅威モデリング ・守るべき資産・機密情報 (sensitive data)を洗い出す ・想定される攻撃を洗い出す MAS Checklistとのギャップ分析 ・現状とチェックリストの差を確認
20
実践例 21
MASVS-STORAGE-1 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ 22
MASVS-STORAGE-2 23 https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/
MASTG-TEST-0052 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ 24
MASTG-TEST-0052 25 Overview ・アプリが保存する機密データを特定 ・ソースコード解析、アプリ機能実行、生成ファイルの確認 Static Analysis ・パスワード、秘密鍵、 PIIなどを保護なしに保存していないか ・UserDefaultsへの平文保存は
NG ・Keychainや暗号化を推奨 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
26 悪い例
27 修正後
28 修正後(全文)
どこから機密データ? 定義: ・漏洩した場合ユーザやアプリに 損害を与える可能性のある情報 判断軸: ・このデータが漏洩したら、、、 ・ユーザに被害が出るか? ・サービスが不正利用されるか? ・規制やコンプライアンス違反につながるか?
29
動的解析 30 https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/
31 理想 と 現実のギャップ
判断基準は? 32 リスク コスト
まとめ ・クライアントでもセキュリティ対策が必要 ・MASVS: セキュリティ要件の標準 ・MAS Checklistを確認しながら対応 Takeaway 全てをできなくても 優先度をつけてリスクの高いところから対応 33
【番外編】 34
静的解析だけでも AIにやらせられない? 35 🤔
試したこと ・MASTGに記載されてる OverviewとStaticAnalysisを.mdに記載 ・mdを元に解析を依頼 (Claude Code & Cursor) 36
いい感じ👍 37
参考文献 OWASP Mobile Application Security:https://mas.owasp.org/ OWASP MASVS: https://mas.owasp.org/MASVS/ MASVS-STORAGE: http://mas.owasp.org/checklists/MASVS-STORAGE/#ios
MASTG-TEST-0052: https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0052/ MASVS-STORAGE-1: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-1/ MASVS-STORAGE-2: https://mas.owasp.org/MASVS/controls/MASVS-STORAGE-2/ 38
gunta
ry
kworkdev
zigorou
shoki_hata
htokoyo
oikon48
riseshia
ntk1000
nwiizo
taka_aki
furuton
lynnandtonic
michielstock
inesmontani
moore
cassininazir
aarron
jonoalderson
deanohume
skipperchong
techseoconnect
garrettdimon
