セキュリティの
学び場

Androidアプリのセキュリティ基準とは

皆さんのスマホにはどのようなアプリがインストールされているでしょうか？

メッセージアプリで公私の連絡を取ったり、フィットネスアプリで日々の睡眠や活動を記録したり、家計簿やバンキング、金融取引をされている方もいるかもしれません。

このように大量の機微情報を扱うスマホにおけるセキュリティの重要性は日々高まっています。アプリ提供企業にとってもプライバシー保護と信頼性の確保、法的要件の遵守、ブランドイメージの維持など多くの面でアプリのセキュリティは必要不可欠です。

この記事ではアプリ提供者がセキュリティを確保する上で有用な「Androidアプリのセキュリティ基準」を紹介します。

OWASP MASVS

OWASP Mobile Application Security Verification Standard（MASVS）はモバイルアプリケーション（スマホアプリ）のセキュリティ検証基準を定めています。（※1）

MASVSはスマホアプリのコンポーネントを包括的にカバーしているのが特徴です。例えば、ストレージ、暗号、認証と認可、ネットワーク通信、モバイルプラットフォームとの連携、コード品質、リバースエンジニアリングと改竄に対する耐性が大きな章立てとして用意されています。

もう一つ大きな特徴として、Android と iOS 共通のセキュリティ要件であることが挙げられます。1つのアプリをAndroid と iOS の両方で提供する際、共通の基準が利用できることは大きな利点と言えます。

なお、OWASP MASVS は 2023年4月 に v2.0.0 がリリースされました。それ以前の1系列から詳細を大きく省略しており、セキュリティ要件の大枠を俯瞰できる構成になっています。代わりに MASVS の各項目に「テスト手順」をまとめた OWASP MASTG（テスティングガイド） の項目が紐づけられており、セキュリティ要件の詳細と検証方法を確認できる形式になっています。

セキュアコーディングガイド

日本スマートフォンセキュリティ協会（JSSEC）が提供する「Androidアプリのセキュア設計・セキュアコーディングガイド（※2）」は、その名のとおりAndroidアプリのセキュリティを考慮した設計と開発のガイドです。こちらは開発現場で使用することを想定した文書で、設計・実装段階でのセキュリティに関する具体的なアドバイスが記載されています。

この文書には図解やJavaのサンプルコード、防御手段選択のための判断フローなどが豊富に掲載されており、Androidアプリ開発のビギナーやセキュリティになじみの無い開発者にも扱いやすい文書になっています。また、日本語を基本として、英語版と中国語版が公開されている点もオフショア開発などにおいて有用な文書になっています。

OWASP Mobile Top 10

OWASP Mobile Top 10（※3）は、スマホアプリを取り巻くセキュリティ状況に基づいて優先順位付けされたセキュリティ脅威のランキングです。Webアプリケーションにおいても OWASP Top10 という有名な文書がありますが、そのスマホアプリ版が OWASP Mobile Top10 と言えます。

この Mobile Top10 は2016年のリリース後、長らく更新が止まっていましたが、2023年に7年ぶりの更新版がリリースされました。ちなみに、更新にあたっては私を含めた弊社メンバーも、「JSSEC モバイルアプリケーション開発 10大チェックポイント 2023 プロジェクト（※4）」を通して、新規項目追加などに参加しました。

Mobile Top10 は 攻撃シナリオやビジネスへの影響についても記載されており、スマホアプリ開発者だけでなく、セキュリティやスマホ利用に関心のある全ての人をターゲットにしています。

なお、Mobile Top 10 は「セキュリティのトレンドが示されている」という点にご注意ください。その時々のトレンドを知るには有用ですが、それらへの対処で十分とは限りません。

おわりに

スマホが普及し、個人データや金融資産などの機密情報を日常的にスマホアプリで扱う中、スマホアプリの脆弱性は生活に致命的な影響を及ぼす可能性があります。

スマホアプリの安全性を確保するためにも、セキュリティ基準の導入と継続的なセキュリティ対策を推進しましょう。