セキュリティの
学び場

iOSアプリ開発時のセキュリティ留意点

現在、友人や家族との連絡、健康管理、財務記録の管理など、スマートフォン(以下、スマホ)は私達の生活に欠かせないものとなっています。多岐にわたる機能を提供するスマホアプリは、利用者の個人情報を取り扱うこともあり、消費者に安心してアプリを利用してもらうためにはセキュリティの確保が重要です。基本的にiOSは高いセキュリティ標準とプライバシー保護の機能を有しています。しかしながら、アプリのセキュリティ設定を正しくおこなっていないとiOSの保護機能を活かせず、思わぬ形で個人情報が漏洩してしまう危険性があります。この記事ではアプリ提供者がセキュリティを確保する上で有用な「iOSアプリのセキュリティ基準」を紹介します。

セキュリティ検証基準”OWASP MASVS”

OWASP MASVS（OWASP Mobile Application Security Verification Standard）はモバイルアプリケーション（以下、スマホアプリ）のセキュリティ検証基準を定めています。OWASP MASVSは”スマホアプリのコンポーネントを包括的にカバーしている”のが特徴です。例えば、以下のような項目が章立てで記載されています。

もう１つの特徴として、”iOS と Android 共通のセキュリティ要件”であることが挙げられます。1つのアプリを iOS と Android の両方で提供する際、共通の基準が利用できることは大きな利点と言えます。

なお、OWASP MASVSは 2023年4月 に v2.0.0 がリリースされました。それ以前の1系列から詳細を大きく省略しており、セキュリティ要件の大枠を俯瞰できる構成になっています。代わりにOWASP MASVSの各項目に「テスト手順」をまとめたOWASP MASTG（テスティングガイド） の項目が紐づけられており、セキュリティ要件の詳細と検証方法を確認できる形式になっています。

セキュリティ設計のガイドライン”OWASP MASDG”

OWASP MASDG(OWASP Mobile Application Security Design Guide)は安全なスマホアプリを設計・開発・テストするためのセキュリティ設計のフレームワークを確立することを目的として、前述した MASVS と同じくOWASPが提供しているガイドになります。

アプリ開発では、認証と認可、暗号化とデータ保護、通信の安全性、プライバシーなどのセキュリティを考慮することが重要であり、これは開発の最初からライフサイクル全体において維持する必要があります。OWASP MASDG の特徴は、OWASP MASTG（テスティングガイド）の各項目に紐付けられており、これに準拠するための詳細な説明が記載されているというところです。iOS と Android それぞれのガイドが用意されています。

スマホアプリのセキュリティ脅威ランキング”OWASP Mobile Top 10”

OWASP Mobile Top 10は、”スマホアプリを取り巻くセキュリティ状況に基づいて優先順位付けされたセキュリティ脅威のランキング”です。WebアプリケーションにおいてもOWASP Top10という有名な文書がありますが、そのスマホアプリ版が OWASP Mobile Top10 と言えます。
（OWASP Top10 2021の解説資料はこちら ＞）

この OWASP Mobile Top 10 は2016年のリリース後、長らく更新が止まっていましたが、2023年に7年ぶりの更新版がリリースされました。今回の更新にあたり、筆者を含めたSHIFT SECURITYの技術メンバーも有識者として「JSSEC モバイルアプリケーション開発 10大チェックポイント 2023 プロジェクト」にて新規項目の追加等に尽力しました。

OWASP Mobile Top 10 は 攻撃シナリオやビジネスへの影響についても記載されており、スマホアプリ開発者だけでなく、セキュリティ従事者の方やスマホ利用に関心のあるすべての方に一読いただくことを推奨しています。

なお、OWASP Mobile Top 10 は「セキュリティのトレンドが示されている」という点にご注意ください。その時々のトレンドを知るには有用ですが、それらへの対処で十分とは限りません。

おわりに

iOSアプリは高いセキュリティ性を持つ一方で、便利な機能の悪用や開発時のセキュリティ設定ミスにより脆弱性が生じる可能性があります。したがって、ここで紹介したセキュリティ基準の導入と、継続的な対策が重要です