あなたの開発したアプリ、脆弱性は大丈夫?セキュリティ対策の基本

スマートフォンアプリ開発のハードルが下がりつつある中、気を付けたいのがセキュリティ対策。アプリに脆弱性があり、万が一ユーザーの個人情報漏洩などにつながれば、運営する企業としては大きなダメージを受けかねない。

実際大手企業が提供するアプリであっても、脆弱性が見つかったという報告もある。そこでアプリのセキュリティ対策としてまず押さえておきたいポイントをまとめた。

セキュリティ対策は急務!あの有名アプリにも脆弱性が発見されている

実は大手企業が提供する人気のアプリでも、脆弱性が見つかっている。例えばある大手SNSのアプリの場合、iOS向け公式アプリに脆弱性があったことを20182月に発表した。このケースでは信用できないネットワーク上で特定の暗号化通信を行うと、盗聴や改竄が行われる恐れがあったという脆弱性だ。

大手ソーシャルブックマークサービスのアプリでも、20184月に脆弱性に関する報告が出ている。このケースでは、脆弱性により実際にアクセスしているアドレスと異なるアドレスがアプリのアドレスバーに表示されてしまう可能性があった。(つまりアプリ内でフィッシング詐欺が起こりうる状態になってしまっていた)

脆弱性による実際の被害は出ていないものの、信頼度は大きく下がりアンインストールされる可能性も高まる。

セキュリティを保持するため、アプリ開発でおさえておきたい2つのポイント

セキュリティ対策が重要とはいえ、アプリ担当者がプログラムの脆弱性について詳細までチェックするのは現実的とは言えない。そこでまずアプリを企画設計する段階でセキュリティレベルが下がらないよう、少なくとも以下の2点はチェックしておきたい。

(1)不必要な情報は扱わない(個人情報など)

当然ながら、アプリ内で扱う個人情報が増えればそれだけリスクは高まる。会員登録フォームをアプリ内に設けるケースも多いが、必要な情報かどうかあらためて設計する際に確認しておくことをおすすめしたい。また、アプリに直接関係のない個人情報を取得するのはリジェクト(アプリストアでの却下)対象にもなるため、注意が必要だ。

(2)HTTPS経由でサイトを表示する

インターネットの通信方式には主にHTTPHTTPSがあるが、より安全なのがHTTPSでの通信だ。HTTPSによる通信では、アクセスしているサーバーの身元証明ができるほか、やり取りする情報は暗号化される。かつてAppleではストア上の全アプリにHTTPS化を義務付けるという発表をしたこともある(その後延期となっている)

セキュリティを強化するためには、アプリ開発環境も見直しを!

最近ではアプリのセキュリティ対策を重視する企業が多いため、アプリ開発者向けの脆弱性診断サービスも登場している。もちろんこうした脆弱性診断サービスを使うのも有効だが、そもそも自社で独自にアプリを開発するスクラッチ開発では、発注側がセキュリティの問題を見つけづらいという課題は残る。

そこで、すでにセキュリティ対策がなされているアプリ開発ツールを使う方法もある。ツールでどんなセキュリティ対策を実践しているかも重要だが、あわせてどんなアプリ開発実績があるかも重要。例えば銀行など高いセキュリティが必要な企業が採用するアプリ開発ツールなら、信頼性も高いだろう。



アプリ開発・アプリ制作 関連記事