コピペ歓迎! JSSECがセキュアなAndroidアプリ開発ガイドラインの新版WebViewやLogCat出力周りの対策を追加

日本スマートフォンセキュリティ協会(JSSEC)は4月23日、Androidアプリを開発する際にセキュリティを確保するための手法についてまとめたガイドラインの最新版、「Androidアプリのセキュア設計・セキュアコーディングガイド」2013年4月1日版を公開した。

» 2013年04月23日 15時54分 公開
[高橋睦美,@IT]

 日本スマートフォンセキュリティ協会(JSSEC)は4月23日、Androidアプリを開発する際にセキュリティを確保するための手法についてまとめたガイドラインの最新版、「Androidアプリのセキュア設計・セキュアコーディングガイド」2013年4月1日版を公開した。7月31日までの間、ガイドに対するパブリックコメントも受け付けるという。

 Androidアプリのセキュア設計・セキュアコーディングガイドは、Androidアプリの開発者を対象とした文書だ。アプリケーション開発の現場での利用を想定し、多数のサンプルコードを交えながら、セキュリティ上留意すべきポイントについて解説。安全なAndroidアプリを設計、実装するための必要事項を紹介している。2012年6月の公開以降、20万回以上ダウンロードされているという。

 新版では、2012年以降多数の事例が報告されている「WebView」および「HTTPS(SSL)」の使用に関する脆弱性を発生させないようにする方法を追加した。さらに、LogCatへのログ出力設定を適切に行い、情報が流出しないようセキュリティを確保する手法も追加している。

 情報処理推進機構(IPA)によると、2011年後半からAndroidアプリの脆弱性に関する届出が急増している。だが、JSSEC セキュアコーディンググループ リーダーの松並勝氏によると、そのいくつかは、Androidアプリの特性を理解し、ガイドを踏まえてコーディングしていれば避けられたはずだという。

 しかも多くのAndroidアプリで、インターネットで検索すると出てくる、脆弱性が含まれたままのコードが「コピペ」して再利用されている結果、脆弱性も再生産されているという。松並氏は、それらの代わりにぜひ「Androidアプリのセキュア設計・セキュアコーディングガイド」のサンプルコードをコピペしてほしいとしている。なお、一連のサンプルコードはApache License 2で公開されており、商用利用も可能だ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。