JSSEC、『Androidアプリのセキュア設計・ セキュアコーディングガイド』2018年2月1日版公開

一般社団法人日本スマートフォンセキュリティ協会(JSSEC、会長：安田 浩)の技術部会 アプリケーションWG「セキュアコーディンググループ」(以下 本グループ、リーダー：安藤 彰)は、2012年6月に公開した『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の改訂版となる2018年2月1日版を本日より公開しました。

【2018年2月1日版の改訂内容】

本ガイドでは主に以下を更新しました。

＜改訂内容＞

(Android 8.0対応)

・Autofillフレームワークについて記事追加

・Permissionの付与単位の変更に関する記事修正

・Account ManagerのAPI呼び出し権限の仕様変更に関する記事修正および追記

・Android IDの値や生成規則の仕様変更について記事追加

・Network Security Configurationの挙動変更(WebView)に関する記事修正

・SSLv3の非サポートに関する記述追記

-TLS 1.2の推奨記事追加

今回は、Android 8.0における変更点を中心に記事の内容を修正・追加いたしました。Androidアプリケーションの権限管理の根幹となるPermission、今まで端末で単一の値であったAndroid ID、HTTPS(TLS/SSL)通信のセキュリティなどの挙動や仕様の変更に関して記述を加えるとともに、Androidの新しい機能であるAutofillフレームワークのセキュリティに関しても仕組みの概要からアプリ視点での注意点や対策までを記事として掲載しております。

【本ガイド概要】

本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。

＜特徴＞

・開発者視点で構成された「使える」ガイド文書

・コピーペーストして使える安全なサンプルコード付き！「Apache License 2」で商用利用可

・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善

『Android アプリのセキュア設計・セキュアコーディングガイド』2018年2月1日版

ガイド文書(PDF)： http://www.jssec.org/dl/android_securecoding.pdf

サンプルコード一式(ZIP圧縮)： http://www.jssec.org/dl/android_securecoding.zip

【日本スマートフォンセキュリティ協会について】

2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しくビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。

【お客様からのお問い合わせ先】

日本スマートフォンセキュリティ協会　事務局

Tel　 ： 03-6757-0159

E-mail： sec@jssec.org

＊「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。

＊その他、記載されている製品名、社名は各社の商標または登録商標です。