2019年9月18日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2019年9月1日版】を公開しました。
・『Android アプリのセキュア設計・セキュアコーディングガイド』【2019年9月1日版】
・「サンプルコード一式」 【2019年9月1日版】
報道関係各位
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2019年9月1日版を公開
一般社団法人日本スマートフォンセキュリティ協会
一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 アプリケーションWG 「セキュアコーディンググループ」(以下 本グループ:リーダー 小木曽 純)は、2012年6月に公開した『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の改訂版となる2019年9月1日版を本日より公開しました。
■2019年9月1日版の改訂内容
本ガイドでは主に以下を更新しました。
改訂内容 |
(Android 10 対応) ・requestLegacyExternalStorage マニフェスト属性設定について追記(4.6.1.4) ・StorageVolume#createAccessIntentメソッド非推奨の説明を追記(4.6.3.5) ・外部ストレージへのアクセスに関する仕様について説明を追記(4.6.3.6) ・Android 10 の端末における旧アプリ実行時の警告表示について追記(5.2.3.6) ・TLS 1.3 が Android 10 からサポートされることに伴い記事内容を更新(5.4.3.8) ・例題で使用するデータをUUIDに変更(5.5.1.2) ・再設定不可能なデバイスIDの取得制限に関する記事を追加(5.5.3.4) (Android 9対応) ・Crypto Provider の非推奨/廃止にともない記事を更新(5.6.3.2) ・FingerprintManager の非推奨にともない記事を更新(5.7) (その他) ・Google Image Search API を使用しないサンプルコードに変更し記事を更新(5.4) ・暗号アルゴリズムと鍵長の基準の最新の引用元を明記し各表の記載内容を更新(5.6.2.2) |
今回は、最新版のAndroid 10における変更点を中⼼に改訂いたしました。Android 10では、外部ストレージへのアクセスに関する仕様変更、TLS 1.3のサポート、再設定不可能なデバイスIDの取得制限などが導入されるため、これらにあわせて記載内容を追加・変更しました。また、生体認証機能を利用するためのサンプルコードをAndroid 6.0以降の端末でも利用可能なサポートライブラリを使用したものに置き換えました。さらに、Android 9に対応する記事を拡充したほか、いくつかの記事を最新の状態にアップデートしております。
■本ガイド概要
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
- 開発者視点で構成された「使える」ガイド文書
- コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
- タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド』2019年9月1日版
以上
【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail:
【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail:
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
本ガイドに関する過去のニュースはこちら:
旧バージョンのガイドのダウンロードはこちら: