写真●JSSECの「Android アプリのセキュア設計・セキュアコーディングガイド 2014年7月1日版」
[画像のクリックで拡大表示]
日本スマートフォンセキュリティ協会(JSSEC)の技術部会 アプリケーションWG「セキュアコーディンググループ」は2014年7月17日、Androidアプリ開発者向けにセキュリティを考慮した設計および開発のノウハウを集めたガイド文書の改訂版「Android アプリのセキュア設計・セキュアコーディングガイド 2014年7月1日版」(写真)を公開した。
JSSECのWebサイトからガイド文書(PDF)およびサンプルコード一式(ZIP圧縮)を無償でダウンロードできる。サンプルコードは、コピー&ペーストしてアプリに組み込んですぐ利用できるようになっている。「Apache License 2」に基づき、商用利用も可能だ。
改訂版では、(1)スマートフォンでプライバシー情報を扱う際の考え方や、利用者からの同意の取り方などを記した「プライバシー情報を扱う」、(2)Androidアプリにおける暗号化や復号、メッセージ認証コード、デジタル署名の取り扱いについて解説する「暗号技術を利用する」――という二つの項目を追加した。
(1)では、総務省によるスマートフォン利用者情報の適正な取り扱いなどについてのガイドライン「スマートフォン プライバシー イニシアティブ」および「同 II」に沿って作成したプライバシーポリシーをAndroidアプリに組み込み、適切なタイミングや方法で利用者情報の利用について同意を得るためのルールとサンプルコードを掲載している。
(2)では、盗聴や改ざんなどの脅威から利用者やアプリの資産を保護できるように、Android OSが提供する様々な暗号技術を分類し、「どのような脅威から保護したいか」という目的に応じて暗号技術を適切に利用するためのルールやサンプルコードを提供する。
