Hello there, ('ω')ノ
✅ 診断対象を選ぶための3つの基準
| 基準 | 内容 |
|---|---|
| 1. 重要度(ビジネスインパクト) | アプリが止まった場合の影響度。業務停止や社会的信頼に関わるか? |
| 2. データの機密性 | アプリが扱う情報のセンシティブさ。個人情報・顧客データ・社外秘など |
| 3. 利用範囲と露出度 | 不特定多数が使う/外部公開されている/BYOD端末でも使われているか |
✅ 優先度をスコアで可視化する方法(サンプル表)
| アプリ名 | 重要度 | 機密性 | 露出度 | 合計スコア | 優先度 |
|---|---|---|---|---|---|
| 勤怠管理アプリ | 高(3) | 中(2) | 高(3) | 8 | ★★★★☆ |
| 社内ニュース閲覧アプリ | 低(1) | 低(1) | 中(2) | 4 | ★★☆☆☆ |
| 顧客対応メモアプリ | 中(2) | 高(3) | 高(3) | 8 | ★★★★☆ |
| 物流支援ツール | 高(3) | 中(2) | 低(1) | 6 | ★★★☆☆ |
👉 重要なアプリから順に手を付けられるよう、「定量化」して見える化すると判断がしやすくなります。
✅ 優先診断すべきアプリの例
🥇 1位:顧客情報を扱う外部向けアプリ
- ECアプリ、顧客管理アプリ、会員制ポータルなど
- 万が一の漏洩が企業の信用を失う致命傷に
🥈 2位:社内コア業務を支えるアプリ
- 勤怠管理、人事評価、経費申請、SFAなど
- 改ざんや停止で業務継続に支障が出る
🥉 3位:特定イベント・期間限定アプリ
- 社外キャンペーン、展示会アプリなど
- 一時的でも公に出るものはリスクが高い
✅ 診断対象の選定時に一緒に考えるべきこと
| 検討項目 | 内容 |
|---|---|
| リリース予定時期 | 本番公開が近いなら診断を急ぐ必要あり |
| 外注 or 内製 | 外部委託アプリはブラックボックスになりやすく、診断が有効 |
| アップデート頻度 | 頻繁に更新されるアプリは診断サイクルの構築が重要 |
| 過去のインシデント履歴 | 以前に問題があったアプリは再優先 |
✅ ツール導入の観点:MobSFで一括スクリーニング
手が回らない場合は、まず全アプリをMobSFでスキャンし、明らかにリスクの高そうなアプリを抽出するのも有効です。
- 自動で
exported設定やallowBackupの状態、API使用状況を判定 - 特定パターンの脆弱性の有無をざっくり可視化
- スコアで並び替えが可能(危険度順に着手)
✅ まとめ
- 診断対象の選定は「ビジネス上の優先順位」をベースに判断する
- リソースが限られているなら、可視化とスコア化で判断軸を明確に
- データの機密性・外部公開の有無・利用規模などを客観的に見て判断
- MobSFなどのツールを使って、一次スクリーニングから始めるのもおすすめ
Best regards, (^^ゞ
