App Vetting
Ostorlab App Vettingは、AndroidおよびiOSアプリケーション向けに、自動化されたセキュリティ、プライバシー、マルウェア、信頼性、および保守性の評価を提供します。静的解析、動的解析、および安全なコンテインメントサンドボックスでの実行を組み合わせることで、アプリケーションパッケージ、実行時(ランタイム)の動作、サードパーティサービス、およびリスク指標を評価します。
App Vettingスキャン
モバイルアプリケーションの包括的な評価であり、セキュリティポスチャ、プライバシーの動作、マルウェアの指標、信頼性のシグナル、および保守性のリスクに焦点を当てています。
主な特徴
- AndroidおよびiOSアプリケーションパッケージの静的解析。
- 実行時(ランタイム)のアプリケーション動作の動的解析。
- 制御された行動分析のための、安全なコンテインメントサンドボックスでの実行。
- マルウェアの指標、スパイウェアの動作、および不審なペイロードの検出。
- セキュリティの脆弱性、安全でない設定、および暗号の誤用の特定。
- プライバシーリスク、トラッカー、権限、およびデータフローの分析。
- アプリケーションの信頼性シグナル、パブリッシャーの評判、および配信元の評価。
- 旧式のコンポーネント、フレームワークの経年、および長期的なリスクを対象とする保守性の分析。
- マルウェア、セキュリティ、プライバシー、信頼性、および保守性の各次元にわたる重み付けリスクスコアリング。
リスクスコアリング
App Vettingは、多次元の重み付けスコアリングモデルを使用して、モバイルアプリケーションの全体的なリスクを評価します。
主な特徴
- 悪意のある動作、トロイの木馬、スパイウェア、および不審な実行パターンのマルウェアリスク評価。
- 脆弱性、安全でない実装パターン、およびOWASP Mobile Top 10の課題に対するセキュリティリスク評価。
- 漏洩したPII、トラッカーの使用、プレーンテキスト通信、および不正なデータフローに対するプライバシーリスク評価。
- アプリケーションの評判、パブリッシャーのシグナル、パッケージの整合性、および配信チェックに基づく信頼性評価。
- 依存関係の経年、フレームワークの使用、コードの健全性、および将来のリスクエクスポージャーに対する保守性評価。
デフォルトのスコアリングモデルでは、以下の重み付けが使用されます。
| 次元 | 重み |
|---|---|
| マルウェア | 35% |
| セキュリティ | 25% |
| プライバシー | 20% |
| 信頼性 | 10% |
| 保守性 | 10% |
安全なコンテインメントサンドボックス
本番システムやユーザーデバイスを危険にさらすことなく、アプリケーションの動作を観察するために使用される、制御された実行環境。
主な特徴
- アプリケーション動作の実行時(ランタイム)モニタリング。
- システムAPI呼び出しおよび機密性の高い操作の分析。
- アウトバウンドネットワーク接続の検査。
- テレメトリ収集およびサードパーティ通信の検出。
- 潜在的なデータエクスフィルトレーション(情報漏洩)動作の特定。
- 不審なアプリケーションまたは高リスクなアプリケーションの行動分析。
ゼロトラストテレメトリ評価
ゼロトラストの観点から、アウトバウンド通信、追跡動作、およびデータ移動を検査する、テレメトリに焦点を当てた評価。
主な特徴
- サードパーティのトラッカーおよび分析SDKの検出。
- 外部サービスへのデータフローの分析。
- プレーンテキストまたは脆弱に保護された通信の特定。
- 観察された動作に対する権限の使用状況の確認。
- プライバシーに影響を与える実行時(ランタイム)アクティビティの評価。
- テレメトリ動作からプライバシーおよびコンプライアンスリスクへのマッピング。
App Vettingの使用方法
App Vettingは、Ostorlabダッシュボードから公開されているAndroidおよびiOSアプリケーションを評価するために使用できます。
App Vettingスキャンの実行
OstorlabダッシュボードからApp Vettingスキャンを実行するには:
- ダッシュボードメニューを開きます。
- Scanningをクリックします。
- App Vettingを選択します。
- 公開アプリケーションのパッケージ名またはアプリケーション名を入力して、スキャンインベントリを検索します。
- 結果からアプリケーションを選択します。

- スキャン結果を開き、リスクスコアと検出結果を確認します。

App Vettingは、選択された公開アプリケーションの利用可能なスキャンデータを取得し、スキャンビューに評価結果を表示します。
リスクスコアの確認
スキャン結果を開いた後、アプリケーションの全体的なリスクスコアと次元別のスコアの内訳を確認します。
スコアは以下のカテゴリにわたって計算されます。
- マルウェア
- セキュリティ
- プライバシー
- 信頼性
- 保守性
スコアの内訳を使用して、アプリケーションの全体的なリスクに最も寄与しているリスク領域を特定します。

検出結果(Findings)の確認
検出結果(findings)セクションを開き、検出されたリスクと技術的な詳細を確認します。
検出結果には以下が含まれる場合があります。
- マルウェア指標
- セキュリティの脆弱性
- プライバシーリスク
- トラッカーおよびSDKの動作
- 実行時(ランタイム)テレメトリの観察結果
- アウトバウンドネットワーク通信
- 信頼性および評判のシグナル
- 保守性の課題
各検出結果には、確認、トライアージ、および修復を支援するための技術的な詳細が含まれています。
結果とアウトプット
App Vettingは、チームがモバイルアプリケーションのリスクレベルを評価するのに役立つ構造化された結果を提供します。
主なアウトプット
- アプリケーションの全体的なリスクスコア。
- カテゴリ別のリスクスコアの内訳。
- マルウェア指標と不審な動作。
- セキュリティの脆弱性および安全でない設定。
- プライバシーリスクおよびデータフローの観察結果。
- トラッカーおよびサードパーティSDKの情報。
- 信頼性および評判のシグナル。
- 保守性の検出結果。
- 実行時(ランタイム)テレメトリの観察結果。
- ネットワーク通信の詳細。
- 特定された検出結果の技術的エビデンス。
ベストプラクティス
継続的なモバイルアプリケーションレビュープロセスの一環としてApp Vettingを使用します。
推奨されるプラクティス
- 企業による承認または内部使用の前にアプリケーションを確認する。
- 新しい公開バージョンがリリースされたときにアプリケーションを再チェックする。
- 全体スコアとカテゴリレベルの内訳の両方を確認する。
- マルウェア、プライバシー、および重大なセキュリティの検出結果を最優先する。
- 必要に応じて、アプリケーションの所有者またはベンダーと影響の大きい検出結果を検証する。
- 同じスコアリング基準を使用してアプリケーションを比較する。
- 検出結果の詳細を使用して、セキュリティ、プライバシー、調達、またはベンダーリスクの意思決定を支援する。