JSSEC セキュリティコラム
25年8月号「【解説】スマートフォンアプリケーション開発者の実施規範」
~ スマホアプリ提供側が意識すべきセキュリティ対策 ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォンですが、その便利さの裏には思わぬ落とし穴が潜んでいます。それは、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め、身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
スマートフォン向けの特定ソフトウェアに関する競争を促進する法律※1、いわゆる「スマホ新法」が2025年12月18日に施行されます。この法律により、国内において代替アプリマーケットの提供や利用を妨げる行為が禁止され、アプリの提供先が広がることが期待されています。しかし、これまでGoogle PlayやApp Storeが行っていたアプリ審査が、代替マーケットでどの程度実施されるかは不透明です。そのため、安全なアプリを提供するための責任がアプリ提供者に一層重くのしかかると考えられます。
JSSEC(日本スマートフォンセキュリティ協会)は、Android OSの公開に合わせて「Android アプリのセキュア設計・セキュアコーディングガイド」※2を発行し、安全なAndroidアプリ開発のための指針を提供してきました。また、2023年には「2025年1月29日 モバイルアプリケーション開発 10大チェックポイント 2023版」※3を公開し、スマホアプリ開発時に特に注意すべき項目を提示しています。このチェックポイントで取り上げた「不適切なクレデンシャルの利用」は、OWASPの「OWASP Mobile Top 10 2024」で1位にランクされています。
さらに、2024年3月には「スマートフォンアプリケーション開発者の実施規範」※4を公開し、スマホアプリ開発時に推奨される項目をまとめました。本コラムでは、この規範の概要について解説します。このコラムが、安全なスマホアプリの提供につながる一助となれば幸いです。
※1 https://www.jftc.go.jp/houdou/pressrelease/2025/mar/250331_smartphone.html
※2 https://www.jssec.org/dl/android_securecoding/index.html
※3 https://www.jssec.org/mobile-apps-10checkpoint2023
※4 https://www.jssec.org/dl/smartphone-app-developers-guide.pdf
スマートフォンアプリケーション開発者の実施規範とは
本規範は、アプリ提供者がアプリの開発からアプリマーケットへの登録までの一連の流れにおいて行うべき手順をまとめたものです。
セキュリティとプライバシーへの取り組みは、企業全体のブランド価値とビジネスの安定性に直結しています。セキュリティインシデントやプライバシー侵害は、企業の評判を損ない、ユーザーの信頼を失うリスクを伴います。したがって、開発者は単なる技術的対策のみならず、企業全体の戦略としてこれらの要素を捉える必要があります。
適切なセキュリティ対策を講じることで、ユーザーの信頼を維持し、ブランド価値を守ることができるとともに、長期的なビジネスの安定を実現できます。このため、セキュリティとプライバシーの取り組みは、単なるコストではなく、企業の将来への重要な投資と考えるべきで、これらの観点を踏まえた規範となっています。
また、本規範作成にあたっては、2023年に英国のDepartment for Science, Innovation & Technologyが発行しているCode of practice for app store operators and app developers※5がまとめている8つの原則のうち、アプリケーション提供者が実施すべきことについて着目しまとめることで、グローバル標準にも追従できるものとなっています。
1. セキュリティとプライバシーの基本要件
スマートフォンのアプリは、誰もがアプリマーケットから入手可能であるため、攻撃者がアプリを解析し、脆弱性を見つけ悪用することが可能です。そのため、アプリ提供者には必要なセキュリティ対策をまとめています。
1.1. 準拠すべきセキュリティとプライバシー基本要件
スマートフォンアプリは私たちの日常生活に深く浸透しています。これに伴い、アプリが扱う情報の量と種類も増加しており、個人情報や機密データを守る必要性がますます高まっており、下記観点を踏まえての対応をまとめています。
・データ保護とプライバシーの確保
アプリは、個人情報や機密情報を取り扱うことが多いため、情報漏洩を防ぐために適切なデータ保護とプライバシーの確保が求められています。これにより、ユーザーの信頼を維持し、ブランドの評判を守る対策となります。
・法令遵守とリスク管理
スマホアプリの中には、国内外のユーザーによって利用されるものもあります。そのため、各国のデータ保護法に準拠することが法的義務となります。コンプライアンスを確保することで、法的リスクや罰則を回避することが不可欠です。これにより、企業は不必要な法的トラブルを避け、事業の安定性を確保するための対応となります。
・ユーザーエクスペリエンスの向上
利用者が安心してアプリを使用できるようにするためには、不要な権限要求を避け、利用者に分かりやすく説明することが重要です。これにより、ユーザーの利用満足度が向上し、長期的な使用につながります。
・セキュリティの強化
平文通信や未管理のクレデンシャル情報は、サイバー攻撃のリスクを高めます。通信の暗号化やコードの難読化を行うことで、攻撃を防ぎ、アプリの安全性を確保するための実施すべき内容となります。
1.2. セキュアコーディング
セキュアコーディングは安全なアプリを提供するための基盤です。セキュリティ上の脅威が増加し続ける現代において、開発者は意図せずに脆弱性を作り出す可能性があるため、厳密なセキュアコーディングを行うことで、より安全なスマホアプリの提供が可能ととする対応についてまとめています。
・ガイドラインに基づくセキュリティ要件
セキュアコーディングを実際に行う際には、適切な方法で実施することが重要です。そのためには、OWASPなどが発行している信頼性のあるガイドラインを参考にすることが重要となります。
・プラットフォームごとの推奨事項
セキュアコーディングを行う際には、各プラットフォームで求められる要件があります。したがって、OS提供者が提供するガイドラインを参考にすることも非常に重要となります。
1.3. セキュリティテスト
アプリケーション開発において、セキュリティ上の問題を完全に回避することは非常に困難です。そのため、開発したアプリに対して適切なセキュリティテストを実施し、問題がないことを確認することが不可欠です。セキュリティテストは、アプリの安全性を確保し、ユーザーに安心して利用してもらうための重要な工程として2つの観点で実施すべきことをまとめています。
・セキュリティテストのガイドラインに沿った実施
セキュリティテストの効果を高めるには、適切なテストを行うことが重要となります。それを実現するために、信頼できるガイドラインの紹介をしています。
・脆弱性診断の実施
脆弱性診断を行うことで、セキュリティテストでは見つけられない脆弱性などを発見できます。ただし、診断の種類によって実施内容が異なるため、アプリの特性や用途を考慮して適切な診断を選ぶことが重要で、また専門家に診断を依頼することでより精度の高い診断が可能になるなど脆弱診断の実施方法の説明をしています。
2. アプリ公開後のメンテナンス
アプリの公開後に、利用者やセキュリティ関係者から不具合や脆弱性の指摘が入る場合があります。また、アプリマーケットのポリシーなどの変更やOSの仕様変更など対応をまとめています。
2.1. 脆弱性情報の収集
アプリ公開時点で脆弱性が存在しなくても、その後に新たな脆弱性が発見される場合があります。特に、スマホアプリではSDKなどを組み込んで利用する場合が多く、これらについては特に定期的に脆弱性がないか収集することが必要で、これらを踏まえ日常的に実施すべき対応となります。
2.2. 脆弱性の対応
脆弱性が見つかった場合は、速やかな対応が必要です。利用者やサービスへの影響を鑑みて適切な判断を行い、対策を講じることが求められ、これら対応の進め方となります。
2.3. アプリの保守・運用
外部で脆弱性が見つかった場合に備え、受付窓口を準備、OSのバージョンアップやアプリマーケットのルール変更によるアプリへの影響を確認など、アプリを提供する上で必要な保守・運用となります。
3. プライバシーの基本要件
アプリからは個人情報を含むさまざまな情報が送信されています。そのため、利用者に対して送信される情報の開示を行い、アプリの透明性を確保すること方法についてまとめています。
3.1. アプリマーケットの対応
Google Play、App Storeにアプリを登録する際には、各マーケットのルールに従って対応することが必須となります。なお、アプリを両マーケットで登録するケースが多いですが、マーケット間で情報が同じになるように登録することが重要など、マーケットで実施すべき対応となります。
3.2. 透明性の確保
透明性を確保するために、初回起動時やポリシー変更時に利用者にプライバシーポリシーを表示させ、同意を取得することが求められますが、推奨される同意方法などをまとめています。また、送信する情報によっては電気通信事業法に沿った対応も必要となり、透明性を確保する上で必要な対応となります。
3.3. アプリプライバシーポリシーの作成
ここで求めるプライバシーポリシーは、企業がHPなどで公開しているプライバシーポリシーではなく、スマホアプリが送信するデータに関するプライバシーポリシーの作成を求めています。また、プライバシーポリシー作成にあたっては、総務省が発行するスマートフォンプライバシーセキュリティイニシアティブ(SPSI)※6で推奨されるアプリプライバシーポリシーに記載すべき10項目を記載の上での作成となります。
※ 本規範策定時は、スマートフォンプライバシーイニシアティブ(SPI)などを参照していましたが、SPSIが2024年11月に発行されていることから、SPSIを参照先に変更しています。
4. 利用規約の基本要件
民法では、定型約款の合意が義務付けられているため、スマホアプリ利用にあたって、利用規約の同意を利用者から得る必要があり、その同意の取り方をまとめています。
5. ユーザサポート
アプリ利用にあたり、利用者から問い合わせを受ける機能を準備すること必要です。また、問い合わせにあたっては、利用者が容易に利用できる環境が重要です。これらの準備を怠ると、利用者の不満が増え、アプリ利用から離脱する可能性もあるため、適切なサポート環境の準備など必要事項をまとめています。
また、アプリで利用しているIDを不正利用するケースが散見されています。これら不正に備えて、利用者に安全な環境を提供すべき内容をまとめています。また、万が一IDを不正利用された際の復旧手段をあらかじめ準備し、推奨する利用方法を案内することもまとめています。
6. セキュリティインシデント対応
個人情報漏洩を伴うセキュリティインシデントが発生した場合には迅速な対応を求められます。個人情報漏洩時には、個人情報保護法対応が求められます。さらには、海外でアプリ提供している場合には、各国の個人情報保護法の対応が必要です。そのため、万が一に備えてのフロー整備も重要で、そのために実施すべき内容をまとめています。
※5 https://www.gov.uk/government/publications/code-of-practice-for-app-store-operators-and-app-developers
※6 https://www.soumu.go.jp/main_content/000532174.pdf
まとめ
本コラムを通じて、「スマートフォンアプリケーション開発者の実施規範」の各項目でアプリ開発者が実施すべきことのその理由については解説をしました。要な対応について解説しました。
スマートフォンの普及に伴い、アプリは日常生活の重要な部分を担う存在となり、その安全性と信頼性がますます求められています。また、「スマホ新法」の施行に伴い代替アプリマーケットが増加することも考えられ、アプリ提供者にはこれまで以上に高いセキュリティ意識と責任が求められます。JSSECのガイドラインや本規範を参考にし、セキュアコーディングやセキュリティテストの実施、プライバシーポリシーの整備、そしてユーザサポートの充実を図ることで、ユーザーの信頼を築き、長期的なビジネスの安定を実現することができるでしょう。
また、本規範には記載されていませんが、スマホアプリに組み込まれるライセンス管理も必要となっています。スマホアプリでは、多くのライブラリやSDKなどのOSS(Open Source Software)を組み込んで作成しているのが一般的で、アプリの7割以上がOSSで構成されていると言われています。OSSにはさまざまなライセンスがあり、それぞれに特定の使用条件や義務があります。これらの条件を遵守しないと、法的な問題に発展する可能性があります。したがって、本規範と併せてOSSライセンスを管理することが求められます。
セキュリティとプライバシーの取り組みは、単なるコストではなく、企業のブランド価値と未来への重要な投資です。このコラムが、安全で信頼できるスマホアプリの提供に向けた第一歩となることを心より願っています。