
金融保安院フィンテックアプリサービス脆弱性点検ガイド
こんにちは、LIAPP TEAMです。
フィンテックサービスは電子金融取引が必須であるため、電子金融取引法に基づく電子金融監督規定を遵守しなければなりません。 金融当局も関連ガイドラインを配布するなど、技術的なセキュリティリスクを遮断するために努力しています。 特に2015年に国内唯一の金融保安機関である金融保安院がフィンテック企業に対する適切な保安管理システムを構築·点検するための「フィンテックサービス脆弱性点検」を実施し、安全なアプリケーション運営と利用を支援します。
LIAPPは金融保安院の「フィンテックサービス脆弱性点検」指針のうち、顧客セキュリティ基準を満たし、モバイルアプリ(Android/iOS)の17の脆弱性の重要情報を保護するセキュリティ機能を提供します。 金融保安院の基準を満たすよう積極的に支援しています。
この投稿では、LIAPP を使用した金融保安庁規則の準備について説明します。
1. モバイルアプリ(Android/iOS)とLIAPPの項目を確認します
金融·金融技術(フィンテック)サービスを提供するモバイルアプリは、重要情報保護、取引情報偽造、クライアントセキュリティ、サーバーセキュリティ、検証の5つの領域で検討されます。 金融·フィンテックサービス企業は、セキュリティチェックに基づく開発を参考にし、ウェブとモバイルの両方の領域の項目に基づく開発セキュリティ要件を導き出す必要があります。
これまで、多くの組織がセキュリティを強化するためにネットワークだけに集中してきました。 ただし、ワイヤレス デバイスおよびモバイル デバイスをアクティブにすると、組織のインターネット パラメータを使用せずにインターネットまたはセキュリティに脆弱な内部ネットワークにアクセスすることにより、重大な問題が発生する可能性があります。
* メモリ保護
アプリケーション実行コード、ユーザ アカウント、および貴重な機能は復号化され、メモリ内のプレーン テキストに保存されます。これにより、アプリケーション内の機密情報が漏洩する可能性があります。 メモリ露出の脆弱性は、重要な情報がソースコードに保存され、暗号化なしで平文でメモリに露出する場合に発生します。 この問題を解決するには、重要な情報を格納するすべての変数を暗号化する必要があります。 LIAPP は、メモリ値を暗号化できる別の暗号化モジュールを介して、メモリ内の機密データの露出をブロックします。
* デバッグ ログ内露出防止
開発者は、アプリの開発時にログクラスをデバッグに使用します。 開発が完了した後、デバッグコードとして使用されるログクラスを削除せずにコンパイルして配布すると、アプリのデバッグコードが装置内部で実行されます。 この時、デバッグコードに個人情報、サーバー認証情報、アプリロジックの必須情報など重要なデータが含まれていれば、悪性アプリで外部に簡単に流出することができます。 この脆弱性に対処するために、LIAPP はデバッグ ログ内の機密情報を削除して、デバッグ ログの露出を防止します。
* 重要な情報に対して画面保護を適用します
住民登録番号、口座番号、公認認証書パスワードなど重要な個人情報は、LIAPPのセキュリティキーパッド(LIKEY)機能を通じて1回限りのデータに変換され、サーバーに送信されます。 しかし、LIAPPは暗号化を使用する既存のセキュリティキーパッド方式とは異なり、個人情報を入力するたびに異なるワンタイムデータを出力し、サーバーに送信します。 また、サーバに送信されるこのワンタイム データは復号化できません。
* 情報入力保護適用
住民登録番号、口座番号、公認認証書パスワードなど重要な個人情報は、LIAPPのセキュリティキーパッド(LIKEY)機能を通じて1回限りのデータに変換され、サーバーに送信されます。 しかし、LIAPPは暗号化を使用する既存のセキュリティキーパッド方式とは異なり、個人情報を入力するたびに異なるワンタイムデータを出力し、サーバーに送信します。 また、サーバに送信されるこのワンタイム データは復号化できません。
* 改ざん検出適用
アプリの改ざんは、通常のアプリを変調されたアプリに変更し、顧客情報を盗んだり、違法サイトを通じて偽造された有料アプリを再配布したりすることで、ユーザーの離脱を促します。 LIAPPは、自己検証アルゴリズムを通じて重要なコアファイルの改ざんを検知し、アプリ改ざんが検知された場合、アプリ実行自体をブロックすることで安全に保護します。
* ハッキングOS検知適用
LIAPP で保護されたアプリケーションは、ルート/ジェイルが壊れた端末での実行をブロックし、インストールされたハッキングツールを検出して、ルートを非表示にし、アプリの実行を停止することもできます。 この機能は、管理者が ON/OFF オプションに変更することによってすぐに適用できます。
* アンチデバッグ適用
デバッグの本来の目的は実行可能コードのバグを見つけることですが、プログラムの仕組みを理解したり、メモリを改ざんしてアプリを攻撃したりするためにハッカーが使用します。 そのため、LIAPP はアプリケーション プロセスへのアクセスを試行し、静的または動的な分析を実行するデバッグをブロックします。 LIAPP は、デバッグのシャットダウンまたはエラーの原因となるアプリケーションの分析を基本的にブロックすることにより、機密情報を保護します。
* ソースコード難読化適用
ソースコードにはアプリケーション全体に関する重要な情報が含まれているため、LIAPPの難読化機能は、知的財産権を保護するためにソースコードが表示されないように保護するために適用されます。 特にLIAPPの難読化は、ソースコードを読みにくく再配列するだけでなく、アプリ自体のソースコード全体を暗号化してソースが見えないように遮断する機能を提供します。
* アンチウイルス適用
アンチウイルスはデバイスユーザーを保護する機能で、アプリサービスのユーザーが悪性コードなどセキュリティ露出の危険があるデバイスでLIAPP適用アプリを実行する際、ユーザーの情報が流出しないようにアプリの実行を遮断します。
2. LIAPPでアプリを保護するのはどうですか?
フィンテックアプリは、すでに実装された状態でセキュリティ検証を行うため、セキュリティ脆弱性がある場合、コードを修正したり、設計段階から再実装する必要があります。 そのため、コストや時間の面で効率的ではないのは事実です。 そのため、各モバイルアプリを実装する際には、分析·設計段階、開発段階、テスト段階ごとにセキュリティ検証方法が必要です。 既存のセキュリティソリューションを適用するには約1ヶ月かかりますが、LIAPPはクラウドサーバーを使用してすべてのセキュリティ機能をワンクリックで簡単に適用できます。
LIAPP TEAMは、LIAPPを通じてフィンテックアプリサービス企業の開発過程でセキュリティ専門家コンサルティングを提供したり、セキュリティ脆弱性を補完します。 フィンテックサービスアプリの脆弱性を直接診断·分析し、セキュリティ脅威要因を把握し、対応を支援します。 フィンテックアプリケーションの開発·普及のために金融保安院の審査を準備している方は、LIAPP TEAMを通じていつでもお気軽にお問い合わせいただければ、より詳しい相談をさせていただきます。
LIAPPは最高のサービスしか提供していません。