こんにちは、JSSECコラボレーション推進プロジェクト(以下:コラボPJ)です。
早速ですが皆様、セキュアコーディングガイドをご存じですか?Androidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。JSSEC設立後、2013年から毎年公開されています。
- セキュアコーディングガイドとは
- Android アプリケーション開発者向けのセキュア設計、セキュアコーディングのノウハウをまとめた Tips 集。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されていて、Android アプリケーション開発者に活用していただける内容。
今回のコラムでは、そんなセキュアコーディングガイドの執筆者リーダーである、セキュアコーディングWG リーダー 宮崎力さん(株式会社ラック)にインタビューしました。
-
- 宮崎力氏
-
- 技術部会 副部会長
-
- セキュアコーディングWG リーダー
-
- (株式会社ラック)
-
- セキュアコーディングガイドの執筆チームのリーダー。執筆から公開までメインで担当。
-
- 勤務する株式会社ラックにてスマートフォンアプリケーションの脆弱性を診断するサービスの提供や診断メンバーのマネジメント等に従事。
- スマートフォンアプリのセキュリティスペシャリストとして活動中。
コラボPJ:宮崎さんがセキュアコーディングガイドの執筆に携わることになったきっかけを教えてください。
宮崎:自分が携わる前から担当していた技術部会長仲上さんにスカウトされました。仲上さんは当時同じ部署で、私が仲上さんの隣でAndroidアプリ作っていたら、アプリ開発のスキルがあるならぜひ一緒にやりませんかと声をかけられたのがきっかけです。
その頃は既にセキュアコーディングガイドは第11版まで発行されていた時期でした。
コラボPJ:セキュアコーディングガイドはボリュームも多く、毎年公開していて作業量がとても多いかと思うのですが、執筆を担当してみていかがでしたか?
宮崎:はい、執筆や発行はとても大変な作業です。ただ、Android アプリ開発現場においてセキュアコーディングガイドは必要な存在だと思っているので、取り組みを続けています。
執筆を続けたことによって、ノウハウも溜まり執筆のコツもつかめてきたので、モチベーションを高められてきています。
コラボPJ:セキュアコーディングガイドを構成・執筆する際に意識しているポイントはありますか?
宮崎:AndroidはGoogle社が開発していて、毎年アップデートされています。アップデート内容が記載された英語の公式ドキュメントがでてくるので、その原本を確認しています。翻訳された日本語版もあるのですが、あくまで翻訳された文章になるので、英語のドキュメントを読んで理解して、自分の言葉でドキュメントにするというというのを意識しています。自分の言葉で書いた方が、他の人も理解してもらえると思っているからです。
自分の理解した内容のアウトプットを世に出す、という点を意識して取り組んでいます。
コラボPJ:ガイドが毎年発行されていますが、Androidの変更点に合わせて見直しされているのでしょうか。セキュアコーディングガイドを初めて見る方は、最新版を確認すればOKということでしょうか?
宮崎:はい、Android最新バージョンの変更があった場合に、該当箇所について加筆修正をしています。セキュアコーディングガイドの最新版を確認していただければ変更点も網羅できます。
コラボPJ:ガイドの中にはサンプルコードが用意されていますが、こちらはそのまま使用してOKなんですよね。
宮崎:はい、Apache License, Version 2.0で行しているので流用して使っていただけます。
余談ですが、各サンプルコードのライセンスヘッダーに年号を書いています。改訂版執筆の際にその個所を変更するのが結構手間だなと思っています(笑)ただ、変えてはいけない箇所もあるので慎重に対応しています。
コラボPJ:サンプルコードを書く際のポイントや意識していることはありますか?
宮崎:シンプルに書くことを意識しています。また、Androidのアップデート版が公開されてから、その月には出せるように発行しています。なので、ベータ情報をキャッチして準備を進めています。
執筆から公開まで、約3か月~4か月くらいかかっています。
コラボPJ:セキュアコーディングガイドを作成しているメンバーにはどのような方が参加されていますか。また、こんな方に参加してほしい、などありますか?
宮崎: 2022年は、執筆を担当してくれた人は私以外に2名、協力していただいた方は+2名いました。所属はラックが1名、NTTデータさんから1名、KDDIさんから2名参加いただきました。メンバーには、論文を公開されているすごい方もいますし、ラック新卒入社2年目のメンバーも執筆に興味を持って自ら手を挙げてくれて参加くれました。ぜひ新しい方にも参加してもらいたいです。
コラボPJ:会社をまたいでの作業となっていますが、複数会社で取り組むメリットはありますか?
宮崎:各会社の強みや、技術情報の交換ができる点ですね。営利目的の団体ではないので、フランクな関係が構築できるのもメリットです。
会社をまたいでの作業はフォローや進捗管理が大変な面もありますが、リモート会議を活かしてフォローしていきたいと思っています。
コラボPJ:こんな人に参加してほしいなどありますか?
宮崎:どんな方でもウェルカムです(笑)執筆の進め方は、私がAndroidの変更点をリストアップして、そのリストを元に書きたい人がいたら手を挙げてもらっています。なので、Androidのアップデート内容を理解できる人に参加いただければと思っています。
文章を書くのが苦手でも、動作検証やサンプルコードを書きたい方などもぜひ参加してほしいです。Android最新版が出たらサンプルコードのターゲットも最新版に変更して動作確認していますが、数が多くて大変なので、そこを担当してくれる人が来てくれると嬉しいです。
コラボPJ:セキュアコーディングガイドを使っていただいたことにより得られるメリットや、活用することの意義など、コラム読者へのセキュアコーディングガイドアピールメッセージをください。
宮崎:パブリックな活動ですし執筆者に名前が載ることでご自身のプレゼンスにも役立つと思います。
自分が書いたコードなどを外部に出せますので。いろんな方に活かしてもらえるように、セキュアコーディングガイドのプレゼンスそのものも上げていきたいと思っています。
いつでも執筆者募集しているので、お気軽にご連絡ください!
興味ある方は事務局までご連絡ください。(問い合わせ先)
セキュアコーディングガイドを読んで、書いてみたいと思った方がいれば広く募集したいです。
コラボPJ:宮崎さん、ありがとうございました。