Androidアプリのセキュア設計・セキュアコーディングガイドの表紙イメージ
Androidアプリのセキュア設計・セキュアコーディングガイドの表紙イメージ
(出所:一般社団法人日本スマートフォンセキュリティ協会)
[画像のクリックで拡大表示]

 日本スマートフォンセキュリティ協会(JSSEC)の技術部会の一つであるセキュアコーディンググループは2016年9月12日、セキュリティを考慮してAndroidアプリを開発するノウハウを集めたガイド文書『Androidアプリのセキュア設計・セキュアコーディングガイド』の改訂版に当たる2016年9月1日版を公開した。ダウンロードして閲覧できる。

 今回の改定では、HTTPS通信を実装する際の注意点や、暗号技術の脆弱性対策に有効と考えられる内容を追加した。改訂版は、全465ページで構成する。

改訂版で追記したコンテンツ
Google Play開発者サービスを利用したOpen SSLの脆弱性対策
Google Play開発者サービスによるSecurity Providerの脆弱性対策
ピンニングによる検証の注意点と実装例
最新Android Studioでサンプルコードを利用する方法(アップデート)
サーバー証明書の利用方法に関する修正等

 ガイド文書の特徴は、アプリケーション開発者の視点で構成していること。例えば、コピー&ペーストして使えるサンプルコードが付く。サンプルコードの使用許諾はApache License 2に準拠しており、商用利用できる。また、タイムリーなノウハウ共有を前提に、継続的に内容を拡充・改善している。

 各テーマごとに、サンプルコードを紹介するサンプルコードセクション、サンプルコードの背景にあるセキュリティ上の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成する。