スマートフォンアプリ開発のハードルが下がりつつある中、気を付けたいのがセキュリティ対策。
アプリに脆弱性があり、万が一ユーザーの個人情報漏洩などにつながれば、運営する企業としては大きなダメージを受けかねません。
実際大手企業が提供するアプリであっても、脆弱性が見つかったという報告もあります。そこでアプリのセキュリティ対策としてまず押さえておきたいポイントをまとめてみました。
セキュリティ対策は急務!あの有名アプリにも脆弱性が発見されている
実は大手企業が提供する人気のアプリでも、脆弱性が見つかっています。例えばある大手SNSのアプリの場合、iOS向け公式アプリに脆弱性があったことが2018年2月に発表されました。このケースでは信用できないネットワーク上で特定の暗号化通信を行うと、盗聴や改竄が行われる恐れがあったという脆弱性です。
大手ソーシャルブックマークサービスのアプリでも、2018年4月に脆弱性に関する報告が出ています。
このケースでは、脆弱性により実際にアクセスしているアドレスと異なるアドレスがアプリのアドレスバーに表示されてしまう可能性がありました。(つまりアプリ内でフィッシング詐欺が起こりうる状態)
脆弱性による実際の被害は出ていないものの、信頼度は大きく下がりアンインストールされる可能性も高まります。
セキュリティを保持するため、アプリ開発でおさえておきたい2つのポイント
セキュリティ対策が重要とはいえ、アプリ担当者がプログラムの脆弱性について詳細までチェックするのは現実的とは言えません。そこでまずアプリを企画設計する段階でセキュリティレベルが下がらないよう、少なくとも以下の2点はチェックしておきたいところです。
(1)不必要な情報は扱わない(個人情報など)
当然ながら、アプリ内で扱う個人情報が増えればそれだけリスクは高まります。会員登録フォームをアプリ内に設けるケースも多いが、必要な情報かどうかあらためて設計する際に確認しておくことをおすすめします。また、アプリに直接関係のない個人情報を取得するのはリジェクト(アプリストアでの却下)対象にもなるため、注意が必要です。
(2)HTTPS経由でサイトを表示する
インターネットの通信方式には主にHTTPとHTTPSがあるが、より安全なのがHTTPSでの通信です。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報は暗号化されます。かつてAppleではストア上の全アプリにHTTPS化を義務付けるという発表をしたこともあります(その後延期)。
セキュリティを強化するためには、アプリ開発環境も見直しを!
最近ではアプリのセキュリティ対策を重視する企業が多いため、アプリ開発者向けの脆弱性診断サービスも登場しています。もちろんこうした脆弱性診断サービスを使うのも有効だが、そもそも自社で独自にアプリを開発するスクラッチ開発では、発注側がセキュリティの問題を見つけづらいという課題は残ります。
そこで、すでにセキュリティ対策がなされているアプリ開発ツールを使う方法もあります。ツールでどんなセキュリティ対策を実践しているかも重要だが、あわせてどんなアプリ開発実績があるかも重要。例えば銀行など高いセキュリティが必要な企業が採用するアプリ開発ツールなら、信頼性も高いでしょう。
なお、本メディアを運営する株式会社ヤプリでは、アプリの開発・運用・分析まで全てノーコードで行えるアプリプラットフォーム「Yappli」を提供しており、800以上のアプリ開発のご支援をしてきたためノウハウも豊富。アプリ開発を検討していて、不安に思っていることや、要件定義のより具体的な作り方、失敗しないプロジェクトの進め方などについて知りたいという方はぜひ気軽にお問い合わせください!
資料は以下よりチェックしてみてください。
