JSSEC、『Androidアプリのセキュア設計・ セキュアコーディングガイド』2017年2月1日版公開

一般社団法人日本スマートフォンセキュリティ協会(会長：安田 浩、以下 JSSEC)の技術部会 セキュアコーディングWG(以下 本WG：リーダー 奥山 謙)は、2012年6月に公開した『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の改訂版となる2017年2月1日版を2月9日(木)に公開しました。 ＜2017年2月1日版の改訂内容＞ 本ガイドでは主に以下を更新しました。 改訂内容 ［Android 7.0対応］ ・Network Security Configurationについて ・外部ストレージの特定ディレクトリへのアクセスの仕様変更について ［過去バージョンのAndroid対応］ ・Sticky Broadcastに関する情報追記 ・MODE_WORLD_＊に関する情報追記 ・intent-filterの使い方等、JSSECに頂いたご質問への回答を記事に反映 ・過去のAndroid 2.0系 3.0系に関する記事の整理 近年は、パーソナルコンピューターやサーバーだけでなく、Androidアプリケーションにおいても、セキュリティを考慮した安全な設計・実装を行うため、HTTPS通信や暗号技術の利用が求められています。しかし、HTTPS通信や暗号技術を利用しても、Androidアプリケーションの設計・実装の誤りや、利用技術のセキュリティ脆弱性のため、対策が不十分となってしまう場合もあります。 こうした背景を踏まえ、今回は、Android 7.0で新たに追加されたネットワーク設定の仕組みや、外部ストレージへのアクセスに関する仕様変更、その他既存の記事への情報追記を行いました。 ＜本ガイド概要＞ 本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。 【特徴】 ・開発者視点で構成された「使える」ガイド文書 ・コピーペーストして使える安全なサンプルコード付き！「Apache License 2」で商用利用可 ・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善 『Androidアプリのセキュア設計・セキュアコーディングガイド』2017年2月1日版 http://www.jssec.org/dl/android_securecoding.pdf ガイド文書(PDF) http://www.jssec.org/dl/android_securecoding.zip サンプルコード一式(ZIP圧縮) 【日本スマートフォンセキュリティ協会について】 2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しく、ビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。 ＊ 「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。 ＊ その他、記載されている製品名、社名は各社の商標または登録商標です。 【お客様からのお問い合わせ先】 日本スマートフォンセキュリティ協会　事務局 Tel　 ： 03-6757-0159 E-mail： sec@jssec.org