JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2016年9月1日版公開
[16/09/12]
提供元:@Press
提供元:@Press
一般社団法人日本スマートフォンセキュリティ協会(会長:安田 浩、以下 JSSEC)の技術部会 アプリケーションWG「セキュアコーディンググループ」(以下 本グループ:リーダー 松並 勝)は、2012年6月に公開した『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の改訂版となる2016年9月1日版を本日より公開しました。
<2016年9月1日版の改訂内容>
本ガイドでは主に以下を更新しました。
改訂内容
・Google Play開発者サービスを利用したOpen SSLの脆弱性対策
・Google Play開発者サービスによるSecurity Providerの脆弱性対策
・HTTP リクエストヘッダを設定する際の注意点
・ピンニングによる検証の注意点と実装例
・最新Android Studioでサンプルコードを利用する方法(アップデート)
・サーバー証明書の利用方法に関する修正等
近年は、パーソナルコンピューターやサーバーだけでなく、Androidアプリケーションにおいても、セキュリティを考慮した安全な設計・実装を行うため、HTTPS通信や暗号技術の利用が求められています。しかし、HTTPS通信や暗号技術を利用しても、Androidアプリケーションの設計・実装の誤りや、利用技術のセキュリティ脆弱性のため、対策が不十分となってしまう場合もあります。
こうした背景を踏まえ、今回は、HTTPS通信の実装における注意点や、暗号技術の脆弱性対策に有効と考えられる内容を追加いたしました。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Androidアプリのセキュア設計・セキュアコーディングガイド』2016年9月1日版
http://www.jssec.org/dl/android_securecoding.pdf ガイド文書(PDF)
http://www.jssec.org/dl/android_securecoding.zip サンプルコード一式(ZIP圧縮)
【日本スマートフォンセキュリティ協会について】
2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しく、ビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel : 03-6757-0159
E-mail: sec@jssec.org
<2016年9月1日版の改訂内容>
本ガイドでは主に以下を更新しました。
改訂内容
・Google Play開発者サービスを利用したOpen SSLの脆弱性対策
・Google Play開発者サービスによるSecurity Providerの脆弱性対策
・HTTP リクエストヘッダを設定する際の注意点
・ピンニングによる検証の注意点と実装例
・最新Android Studioでサンプルコードを利用する方法(アップデート)
・サーバー証明書の利用方法に関する修正等
近年は、パーソナルコンピューターやサーバーだけでなく、Androidアプリケーションにおいても、セキュリティを考慮した安全な設計・実装を行うため、HTTPS通信や暗号技術の利用が求められています。しかし、HTTPS通信や暗号技術を利用しても、Androidアプリケーションの設計・実装の誤りや、利用技術のセキュリティ脆弱性のため、対策が不十分となってしまう場合もあります。
こうした背景を踏まえ、今回は、HTTPS通信の実装における注意点や、暗号技術の脆弱性対策に有効と考えられる内容を追加いたしました。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Androidアプリのセキュア設計・セキュアコーディングガイド』2016年9月1日版
http://www.jssec.org/dl/android_securecoding.pdf ガイド文書(PDF)
http://www.jssec.org/dl/android_securecoding.zip サンプルコード一式(ZIP圧縮)
【日本スマートフォンセキュリティ協会について】
2011年5月に設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人への普及が目覚しく、ビジネス分野においても今後、普及・利用が拡大されることが期待されるスマートフォンやタブレット型端末の様々なセキュリティ上の課題を解決し、普及促進を目指しています。特にビジネス分野での活用においては、様々な課題を解決するための取り組みを行っており、スマートフォンの総合的なセキュリティ対策を啓発することで、日本から発信するスマートフォンの普及促進を目指してまいります。
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel : 03-6757-0159
E-mail: sec@jssec.org