また、代替アプリマーケットでは自動的なセキュリティチェックや審査がない場合もあるため、アプリ提供者自身がセキュリティ対策を強化し、定期的な監査を行うことが重要だ。
プラットフォームごとに異なる権限ポリシーを把握し、必要な権限のみを取得することも求められる。
アプリマーケットの開放により、利用者が不利益を被ることは許されない。したがって、アプリ提供者は責任を持ってアプリを提供し、ユーザーの権利と利益を守らねばならない。
セキュリティテストと脆弱性診断、継続的な監視を
このような背景の中で、アプリ提供者が安全なスマホアプリを提供するにはどうすればよいか。安全なスマホアプリを提供するためには、オンライン上で公開されている、信頼できるモバイルアプリのセキュリティマニュアルを参照することが有効だ。
例えば、以下が挙げられる。
● OWASP(Open Worldwide Application Security Project)MASVS(Mobile Application Security Verification Standard)
ソフトウェアのセキュリティ向上を目的とした非営利団体が提供する、モバイルアプリの安全性チェックリスト。アプリのセキュリティ要件を定義しており、開発者が、「どのようなセキュリティ対策が必要か」を知るためのガイドライン。
● OWASP MASTG(Mobile Application Security Testing Guide)
モバイルアプリのセキュリティテスト方法をまとめたマニュアル。MASVSで定義されたセキュリティ要件が、実際に正しく実装されているかをテストするための手順や手法が詳細に書かれている。「どのようにテストすればよいか」を知るための手引書。
● OWASP Mobile Top10
モバイルアプリケーションにおける最も重大なセキュリティリスクを、OWASPが10項目にまとめたリスト。開発者が「とくに注意すべき脆弱性は何か」を理解し、対策の優先順位をつけるためのガイドライン。
これらを参考にセキュアコーディングを行い、セキュリティテストを実施することで、一般的なセキュリティ脅威を削減することが可能だ。
次ページが続きます:
【開発者に向けて「注意が必要」な具体的な事例を3つ紹介】
