> For the complete documentation index, see [llms.txt](https://coky-t.gitbook.io/owasp-mastg-ja/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://coky-t.gitbook.io/owasp-mastg-ja/owasp-mobairuapurikshonsekyurititesutogaido/0x02b-masvs-mastg-adoption.md).

# OWASP MASVS と MASTG の採用

OWASP MASVS と MASTG は以下のプラットフォームプロバイダ、標準化機関、政府機関、教育機関から信頼を得ています。

## モバイルプラットフォームプロバイダ

### Google Android

![](/files/BtCcR8w5j7pIImDjwmT7)

2021 年以降、Google は OWASP Mobile Security プロジェクト (MASTG/MASVS) への支援を表明し、[App Defense Alliance (ADA)](https://appdefensealliance.dev/) とその [MASA (Mobile Application Security Assessment) プログラム](https://appdefensealliance.dev/masa) を通じて MASVS リファクタリングプロセスへの継続的で価値の高いフィードバックの提供を開始しました。

MASA により、Google は世界的に認められたモバイルアプリセキュリティ標準をモバイルアプリエコシステムに活用することの重要性を認識しました。開発者は Authorized Lab パートナーと直接連携してセキュリティ評価を開始できます。Google は一連の MASVS レベル 1 の要件に対してアプリケーションを自主的に検証した開発者を評価し、データセーフティセクションでこれを紹介します。

Google、ADA、およびそのすべてのメンバーの支援と、モバイルアプリエコシステムを保護するための優れた取り組みに感謝します。

## 認証機関

### CREST

![](/files/ZZSSg4nW5WJfUy7Y5abD)

CREST は国際的な非営利団体であり、会員機関の品質保証を行い、サイバーセキュリティ業界に専門的な認証を提供しています。CREST は世界中の政府、規制当局、学術機関、トレーニングパートナー、専門機関、その他の関係者と協力しています。

2022 年 8 月、CREST は OWASP Verification Standard (OVS) プログラムを開始しました。CREST OVS はアプリケーションセキュリティの新しい標準を設定します。OWASP のアプリケーションセキュリティ検証標準 (ASVS) とモバイルアプリケーションセキュリティ検証標準 (MASVS) に支えられ、CREST はオープンソースコミュニティを活用して、グローバルな標準を構築および維持し、グローバルなウェブおよびモバイルアプリケーションセキュリティフレームワークを提供しています。これにより CREST OVS 認定プロバイダを利用する開発者は、OWASP ASVS および MASVS 標準を活用することにより、熟練し能力があるセキュリティテスト担当者を有する倫理的で有能な組織との取引であることを常に知ることができることを購入コミュニティに保証します。

* [CREST OVS Programme](https://www.crest-approved.org/membership/crest-ovs-programme/)
* [CREST OVS Accreditation Process](https://www.crest-approved.org/membership/crest-ovs-programme/ovs-programme-accreditation-process/)
* [CREST OVS Introductory Video](https://www.youtube.com/watch?v=th1l6-e4hcg)

CREST の OVS プログラムに関するコンサルテーションとグローバルなサイバーセキュリティ標準を構築および維持するためのオープンソースコミュニティへの支援に感謝します。

## 標準化機関

### NIST (米国国立標準技術研究所)

![](/files/YcmQSFJe3KgXmQAG3qCR)

[米国国立標準技術研究所 (National Institute of Standards and Technology, NIST)](https://www.nist.gov/about-nist) は 1901 年に設立され、現在は米国商務省の一部となっています。NIST は米国で最も古い物理科学研究所の一つです。議会は当時の米国の産業競争力に対する大きな課題であった二流の測定インフラストラクチャを取り除くためにこの期間を設立しました。このインフラストラクチャは英国やドイツなどの経済的ライバルに後れを取っていました。

* [NIST.SP.800-163 "Vetting the Security of Mobile Applications" Revision 1, 2019](https://csrc.nist.gov/news/2019/nist-publishes-sp-800-163-rev-1)
* [NIST.SP.800-218 "Secure Software Development Framework (SSDF) v1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities" v1.1, 2022](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218.pdf)
* [NIST CSWP 33 "Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers" Initial Public Draft, 2024](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.33.ipd.pdf)

### BSI (ドイツ連邦情報セキュリティ局(Bundesamt für Sicherheit in der Informationstechnik, Germany))

![](/files/bEeYr5P923cAYJHKP3O6)

BSI は "Federal Office for Information Security" の略で、ドイツにおける IT セキュリティの推進を目的とし、連邦政府の IT セキュリティサービスプロバイダの中心的な役割を担っています。

* [Technical Guideline BSI TR-03161 Security requirements for eHealth applications v1.0, 2020](https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03161/TR-03161.pdf)
* [Prüfvorschrift für den Produktgutachter des „ePA-Frontend des Versicherten" und des „E-Rezept-Frontend des Versicherten v2.0, 2021](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Pruefvorschrift_Produktgutachter_ePA-Frontend.pdf)

### ioXt

![](/files/rZM3TvzncrPimMwkoAOG)

[ioXt Alliance](https://www.ioxtalliance.org/) の使命は複数の利害関係者、国際的、調和的、標準的なセキュリティとプライバシーに関する要件、製品コンプライアンスプログラム、およびこれらの要件とプログラムの公開の透明性を通じて Internet of Things 製品の信頼性を構築することです。

2021 年に ioXt は [モバイルアプリケーションプロファイルを通じてセキュリティ原則を拡張](https://www.ioxtalliance.org/news-events-blog/ioxt-alliance-expands-certification-program-for-mobile-and-vpn-security) し、アプリ開発者は自らの製品が OWASP MASVS や VPN Trust Initiative などの高いサイバーセキュリティ標準で構築され維持できるようにしました。ioXt モバイルアプリケーションプロファイルはクラウドに接続されるあらゆるモバイルアプリに適用されるセキュリティ標準であり、利用者および商用モバイルアプリのセキュリティに市場で必要とされる透明性を提供します。

* [ioXt Base Profile v2.0](https://static1.squarespace.com/static/5c6dbac1f8135a29c7fbb621/t/6078677c7d7b84799f1eaa5b/1618503553847/ioXt_Base_Profile.pdf)

## 政府機関

| 名称                                                                    | 文書                                                                                                                                                                                                                                                               | 年号   |
| --------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |
| Government of Singapore, Cyber Security Agency (CSA)                  | [Safe App Standard v2.0](https://www.csa.gov.sg/resources/publications/safe-app-standard-2-0)                                                                                                                                                                    | 2024 |
| European Payments Council                                             | [Payment Threats and Fraud Trends Report](https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2021-12/EPC193-21%20v1.0%202021%20Payments%20Threats%20and%20Fraud%20Trends%20Report.pdf)                                                           | 2021 |
| European Payments Council                                             | [Mobile Initiated SEPA Credit Transfer Interoperability Implementation Guidelines, including SCT Instant (MSCT IIGs)](https://www.europeanpaymentscouncil.eu/document-library/guidance-documents/mobile-initiated-sepa-instant-credit-transfer-interoperability) | 2019 |
| ENISA (European Union Agency for Cybersecurity)                       | [Good Practices for Security of SMART CARS](https://www.enisa.europa.eu/publications/smart-cars)                                                                                                                                                                 | 2019 |
| Government of India, Ministry of Electronics & Information Technology | [Adoption of Mobile AppSec Verification Standard (MASVS) Version 1.0 of OWASP](http://egovstandards.gov.in/notified-standards-1)                                                                                                                                 | 2019 |
| Finish Transport and Communication Agency (TRAFICOM)                  | [Assessment guideline for electronic identification services (Draft)](https://www.traficom.fi/sites/default/files/media/file/DRAFT%20Traficom%20guideline%20211%202019%20conformity%20assessment%20of%20eID%20service.pdf)                                       | 2019 |
| Gobierno de España INCIBE                                             | [Ciberseguridad en Smart Toys](https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_smarttoys_final.pdf)                                                                                                                                          | 2019 |

## 教育機関

| 名称                                                                                    | 文書                                                                                                                                                                                           | 年号   |
| ------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |
| Leibniz Fachhochschule Hannover, Germany                                              | [Sicherheitsüberprüfung von mobilen iOS Apps nach OWASP (German)](https://leibniz-fh.de/content/uploads/2022/09/27_Arbeitspapier_OWASP.pdf)                                                  | 2022 |
| University of Florida, Florida Institute for Cybersecurity Research, United States    | ["SO{U}RCERER : Developer-Driven Security Testing Framework for Android Apps"](https://arxiv.org/pdf/2111.01631.pdf)                                                                         | 2021 |
| University of Adelaide, Australia and Queen Mary University of London, United Kingdom | [An Empirical Assessment of Global COVID-19 Contact Tracing Applications](https://arxiv.org/pdf/2006.10933.pdf)                                                                              | 2021 |
| School of Information Technology, Mapúa University, Philippines                       | [A Vulnerability Assessment on the Parental Control Mobile Applications Security: Status based on the OWASP Security Requirements](http://www.ieomsociety.org/singapore2021/papers/1104.pdf) | 2021 |

## 科学研究への応用

* [STAMBA: Security Testing for Android Mobile Banking Apps](https://link.springer.com/chapter/10.1007/978-3-319-28658-7_57)

## 書籍

* [Hands-On Security in DevOps](https://books.google.co.uk/books?id=bO1mDwAAQBAJ\&pg=PA40\&lpg=PA40\&dq=owasp+mobile+security+testing+guide\&source=bl\&ots=pHhAasVgeC\&sig=ACfU3U0yodcqH0O8Sjx3ADTN2m1tbHeCsg\&hl=nl\&sa=X\&ved=2ahUKEwio2umM8tbiAhXgVBUIHehnAEU4UBDoATAIegQICRAB#v=onepage\&q=owasp%20mobile%20security%20testing%20guide\&f=false)

## 業界のケーススタディ

* [Case Study: NowSecure Commits to Security Standards](https://drive.google.com/file/d/1cns3Ot6MGdHwMMSx88lDds3brktMhLOM/view?usp=share_link)

> あなたのケーススタディを寄稿しませんか？ [私たちとコンタクトを取りましょう！](https://mas.owasp.org/contact/)
