部会・WGからの報告 / 成果物

2013年4月23日

 

『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。

・『Android アプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】  
・「サンプルコード一式」 【2013年4月1日版】 

 


 

報道関係各位

 

JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2013年4月1日版を公開
~本ガイドにおけるご意見募集も同時開始~

一般社団法人日本スマートフォンセキュリティ協会

一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 安田浩)の技術部会 アプリケーションWG 「セキュアコーディンググループ」(以下 本グループ:リーダー 松並勝)は、Androidスマートフォンのアプリケーション作成におけるセキュリティ確保の手法についてまとめた文書『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の2013年4月1日版を本日より公開しました。また、同時に本ガイドへのご意見(パブリックコメント)を募集します。

 

■2013年4月1日版の特徴

 

昨年から多くの事例が報告されているWebView(*)およびHTTPS(SSL)(*)の使用に関する脆弱性に対応して、脆弱性を発生させないセキュリティ確保の手法を新たに記載しています。また、以前より事例が報告されているログ出力におけるセキュリティ確保の手法も新たに記載しています。

 

【主な変更点】
2012年11月1日版からの主な差分は以下のとおりです。

 2013年4月1日版 改訂内容
 記事内容の見直し

  • 5.3 Account Managerに独自アカウントを追加する
 新しい記事の追加

  • 4.8 LogCatにログ出力する
  • 4.9 HTTPSで通信する
  • 4.10 WebViewを使用する

 

■本ガイド概要

 

本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
無償公開している本ガイドは、2012年6月の公開以降20万回以上ダウンロードされており、アプリ開発者の教本として広まりつつあります。
本グループでは、今後も脆弱性の動向に応じて新たに記事を追記していきます。

 

【特徴】

  • 開発者視点で構成された「使える」ガイド文書
  • 動かしてから考えられるサンプルコード付き!「Apache License 2」で商用利用も可能
  • タイムリーなノウハウ共有が前提、継続的な内容拡充・改善

 

【ベネフィット】

  • 脆弱性を発生させないポイントがわかる
  • 使い方が理解されていない「Androidのセキュリティ機能」がわかる
  • コードのレビューに役立つだけでなく、コードを書く前に気を付けるポイントがわかる

 

■本ガイド策定背景

 

従来の携帯電話は、監督機関の指導やキャリアの自主規制により、安全性が保たれていました。しかし、海外発祥で高機能なスマートフォンは、携帯電話の内部技術(API*)が開発者に開放されており、安全を意識した設計開発がアプリケーション開発者には必要です。実際に2012年は「アンドロイド脆弱性元年」と呼ばれるほどにAndroidアプリの脆弱性報告が急増しており(IPA報告資料*)、本ガイドの意義が高まってきました。

 

■本ガイドへのご意見募集(パブリックコメント)

 

本ガイドの更なる向上のため、皆さまの活発なご意見をお待ちしています。

 

1. 意見募集対象
『Android アプリのセキュア設計・セキュアコーディングガイド』2013年4月1日版
ガイド文書 
サンプルコード一式 

 

2. 意見募集期間
2013年4月23日(火)~2013年7月31日(水)
※技術進歩に対応するため、本ガイドに対するご意見は、継続して募集します。

 

3. 意見送付方法
送付方法:「JSSEC事務局( )」へ電子メールでお送りください。
記載方法:
件名:【コメント応募】Androidアプリのセキュア設計・セキュアコーディングガイド 2013年4月1日版
氏名(任意)/所属(任意)/連絡先E-mail(任意)/ご意見(必須)/その他ご希望(任意)

 

※全てのご意見が本ガイドへ反映される訳ではない旨、あらかじめご了承ください。
※お寄せいただいたご意見は、個人情報を除き、全て公開される可能性があります。
※法人等の財産権等を侵害する恐れがある場合は、該当箇所を伏せるなどの配慮をします。

 

■セミナーのお知らせ

 

2013年4月23日 (火)からベルサール秋葉原で開催される「スマートフォンアプリEXPO2013」のセミナーで、本グループリーダーの松並が本ガイドを活用した安全なAndroidアプリの開発方法を紹介します。ぜひ会場へお越しください。

 

以上

 


 

*WebView(ウェブビュー)
Android開発において、htmlファイルの表示やウェブサイトを閲覧するアプリの作成を容易にするユーザーインターフェースの一つ。

*HTTPS(SSL)I【Hypertext Transfer Protocol over Secure Socket Layer】
ウェブブラウザとウェブサーバーとの間で行われる通信(HTTP)について、安全性を向上させる目的で幅広く利用される仕組み。

*API【Application Program Interface】
オペレーティングシステムが用意した機能をアプリケーションプログラムから利用するための入り口。スマートフォンでは多種多様なAPIがアプリケーションプログラムから利用できるため、魅力的なアプリケーションが多数開発されている。

*IPA報告資料
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開しました。
  IPAテクニカルウォッチ
  http://www.ipa.go.jp/about/technicalwatch/20120613.html
またIPAは、上記技術レポートからの更新情報として2013年1月21日にAndroidアプリの脆弱性の最新動向を下記の技術資料にて公開しています。
  脆弱性対策情報データベースJVN iPediaの登録状況[2012年第4四半期(10月~12月)]
  1.3 登録している脆弱性対策情報に関する注目情報(その2)
  ~スマートフォン上で稼働するAndroidアプリの脆弱性が急増。速やかなアプリのバージョンアップを~
  http://www.ipa.go.jp/security/vuln/report/JVNiPedia2012q4.html

 

【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しくビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。

 

【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159  E-mail:

 

【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159  E-mail:

 

*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。

 


 

本ガイドに関する過去のニュースはこちら:

 

旧バージョンのガイドのダウンロードはこちら: