一番危険なのは“ぜい弱な”アプリ──「悪意のない知識不足」からAndroidアプリを守れ！：ワイヤレスジャパン2013

[長浜和也，ITmedia]

悪意のない知識不足が一番面倒

セキュリティに問題のあるアプリの3分類。このうち、悪意がなく意図的でない“ぜい弱なアプリ”が最も始末が悪い

　日本スマートフォンセキュリティ協会は、通信事業者やスマートフォンメーカー、アプリベンダー、セキュリティーベンダーなど、開発関連企業がメンバーとなって構成するスマートフォンの安全利用を啓蒙する団体だ。企業参加が前提だが、個人でも「Androidセキュリティ部」に参加することでメンバーとなることができる。

　講師の松並勝氏は、日本スマートフォンセキュリティ協会メンバーで、ソニーグループでセキュリティコンサルティングチームのリーダーを務め、ソニーグループなの開発チームに対して、作成したプログラムのセキュリティ検査とアドバイスを行っている。

　松並氏は、セキュリティに問題のあるアプリを「悪意のあるウイルスアプリ」「迷惑なアプリ」「ぜい弱性のあるアプリ」に分類する。ウイルスアプリは開発者が悪意を持って作成し、迷惑なアプリは開発者の意図は別として、使うユーザーに不利益を与える動作を意識的に導入する。一方、ぜい弱性のあるアプリでは、開発者が意図せずに悪用可能な状態にしてしまう。

　松並氏は、悪意でウイルスを仕込んだアプリや意図的に作成する迷惑なアプリは、セキュリティ対策が容易という。対策が難しいのは、無意識でそうなってしまうぜい弱性のあるアプリだ。アプリ開発を発注する立場では、ウイルスは出荷前のスキャンでチェックでき、迷惑なアプリは出荷前検査で機能を確認すれば改修できる。しかし、内在するぜい弱性については、発注仕様を満たしていればチェックできないことが多い。

　松並氏は、アプリのぜい弱性は開発者の知識不足が原因と訴える。その知識不足を補うために、日本スマートフォンセキュリティ協会ではガイドラインのPDFを公開している。利用する開発者はサンプルコードを参照してセキュリティを配慮したプログラムを作成できる。また、作成したプログラムのぜい弱性をチェックする検査ツールも用意している。

セキュリティに関する開発者の知識不足対策として、ガイドラインのドキュメントを公開。サンプルコードなど開発の現場で利用しやすい工夫がなされている。また、作成したプログラムの検査ツールも提供している

　松並氏は、ぜい弱性をチェックする作業フローについても、自分が開発したプログラムを検査ツールでチェックし、問題が出た部分で検査結果を参照にガイドラインから問題の内容を解決するサンプルコードを利用して回収、再び検査ツールでチェックするサイクルを繰り返すようにアドバイスした。「仕事で作った自分のプログラムなら、内容をよく把握しているので指摘の意味も理解できるし、なんといっても真剣さが違う」（松並氏）

　また、プログラムの検査をするタイミングにも言及した。通常、セキュリティ検査は最終段階で行うことが多く、たとえ問題が発覚してもすでに決まっている出荷のタイミングまで修正する時間がない場合が多く、かつ、十分な検査を行う余裕がないことも少なくない。松並氏は、設計とコーディングを行っている段階から実施すれば、十分な検査を行え、問題が発生しても修復する時間があると訴える。

セキュリティ検査は出荷直前の開発最終段階ではなく、開発中から余裕をもって十分に行うのが重要だ。自分の作ったプログラムをツールで検査し、検出した問題点をガイドラインで学習することが短時間でセキュリティの知識を身に付ける方法だ