一般社団法人日本スマートフォンセキュリティ協会の技術部会 アプリケーションWG「セキュアコーディンググループ」は、2月1日、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』の改訂版となる2016年2月1日版を公開した。
改訂版の要点は以下のとおりとなる(プレスリリースより)。
本ガイド 2016年2月1日版では主に以下を更新しました。
改訂内容:
Android 6.0で追加されたセキュリティ関連の対応
・指紋認証機能
・Permission機構の変更
Android 5.0以前に追加されたセキュリティ機構で前版までに入らなかったもの
・Notification
・パートナー限定の実装方法
その他、最近の脆弱性問題の対応や記事の見直し
・Fragment Injection対策
・プライバシー記事のソースコード見直し 等
2015年10月にGoogleがAndroid最新バージョンAndroid 6.0を公開しました。Android 6.0ではセキュリティ関連機能の利用についてユーザーの許諾を得るPermission機構が大幅に変更され、指紋認証の機能がAndroid OS自体に組み込まれる等、セキュリティ面ではこれまで以上に大きな変更がありました。
この状況を踏まえ、今回、本セキュアコーディングガイドに記載されている内容を、発行時点で一般公開されている最新バージョンAndroid 6.0(Marshmallow)までの変更に対応いたしました。また、Android 6.0での変更に限らず、前バージョンのAndroid 5.0での変更についても、これまで公開していた内容に含められていなかった内容について、本版で内容を追加しております。
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド』2016年2月1日版
ガイド文書(PDF)
サンプルコード一式(ZIP圧縮)
【日本スマートフォンセキュリティ協会について】
2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しく、ビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。
改訂版の要点は以下のとおりとなる(プレスリリースより)。
<2016年2月1日版の改訂内容>
本ガイド 2016年2月1日版では主に以下を更新しました。
改訂内容:
Android 6.0で追加されたセキュリティ関連の対応
・指紋認証機能
・Permission機構の変更
Android 5.0以前に追加されたセキュリティ機構で前版までに入らなかったもの
・Notification
・パートナー限定の実装方法
その他、最近の脆弱性問題の対応や記事の見直し
・Fragment Injection対策
・プライバシー記事のソースコード見直し 等
2015年10月にGoogleがAndroid最新バージョンAndroid 6.0を公開しました。Android 6.0ではセキュリティ関連機能の利用についてユーザーの許諾を得るPermission機構が大幅に変更され、指紋認証の機能がAndroid OS自体に組み込まれる等、セキュリティ面ではこれまで以上に大きな変更がありました。
この状況を踏まえ、今回、本セキュアコーディングガイドに記載されている内容を、発行時点で一般公開されている最新バージョンAndroid 6.0(Marshmallow)までの変更に対応いたしました。また、Android 6.0での変更に限らず、前バージョンのAndroid 5.0での変更についても、これまで公開していた内容に含められていなかった内容について、本版で内容を追加しております。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド』2016年2月1日版
ガイド文書(PDF)
サンプルコード一式(ZIP圧縮)
【日本スマートフォンセキュリティ協会について】
2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しく、ビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。