部会・WGからの報告 / 成果物

2021年10月19日

 

『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】を公開しました。

・『Android アプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】


・「サンプルコード一式」 【2021年10月19日版】 

 


報道関係各位

 

JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2021年10月19日版を公開

 

一般社団法人日本スマートフォンセキュリティ協会

 

一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 アプリケーションWG 「セキュアコーディンググループ」(以下 本グループ:リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の13版目の改定版である2021年10月19日版を公開しました。

 

■2021年10月19日版の改訂内容

 

本ガイドでは主に以下を更新しました。

改訂内容
(Android 12対応)
・ACTION_CLOSE_SYSTEM_DIALOGSについて
・特定のWindowをパススルーするタッチについて
・PendingIntentオブジェクトの可変性
・Android 12 における使用していないアプリの自動休止機能について
・パッケージアクセスの仕様変更にともなうAPIの戻り値の変化
・Android 12 におけるマイクとカメラ
・WebViewにおけるSameSite Cookieについて
・Clipboardへのアクセス通知について

(その他、構成・内容の見直しと拡充)
・exported 設定とintent-filter設定の組み合わせ(Activityの場合)
・Intent経由など、他から受け取ったURLが想定されたURLか確認する (必須)
・データアクセスの監査について
・位置情報アクセスについて
・Conscryptモジュールについて
・Clipboardに格納されている情報の操作

 

今回は、最新版のAndroid 12における変更点を中⼼に改訂いたしました。Android 12では、前バージョンでなされたプライバシーに関する仕様の拡張的な内容が変更点の中心となっており、あわせて記載内容を追加・変更しました。また、昨今問題となることの多い、フィッシングサイトへの誘導に悪用され得る、アプリ間におけるURLのやりとりについての注意点も追記しています。サンプルコードのAndroid SDKバージョンをAndroid 12(API 31)に変更し、Android 12端末でそのまま動作させることが可能なようアップデートしております。
 

■本ガイド概要

 

本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。

 

【特徴】

  • 開発者視点で構成された「使える」ガイド文書
  • コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
  • タイムリーなノウハウ共有が前提、継続的な内容拡充・改善

 

『Android アプリのセキュア設計・セキュアコーディングガイド』2021年10月19日版

  • ガイド文書
  •  

  • サンプルコード一式

以上

 


 

【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。

 

【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159  E-mail:

 

【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159  E-mail:

 

*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。

 


 

本ガイドに関する過去のニュースはこちら:

 

旧バージョンのガイドのダウンロードはこちら: