スタッフブログ

STAFF BLOG

アプリ開発日誌

2016.11.17

アプリのセキュリティ対策って何をしたらいいの?

大手レンタルサーバ会社や海外の超有名Webメールサービス会社など、個人情報が流出したりというニュースが相次いでますね。
これらは犯罪者が「盗んだよ」と公表したり、あるいは不正アクセスを検知して調査した結果判明したものだったりと、露呈したことが前提にあります。

そのため、企業側が知らないうちに情報漏洩してしまっているというケースも少なからず存在すると思われます…
そうならないためにも、各企業のアプリ担当者さまも開発会社に丸投げではなく、少なからずセキュリティ対策について知っておく必要があります。

ヤフーさんなんかはラック社と連携して、こんな演習を行っているようです。
ヤフーのような一流企業でも、ハッカーからの攻撃は防ぎ切れない様子…
本来ここまでやべきなのかも知れませんが、予算などの兼ね合いでなかなかできないですね。

セキュリティ対策と一言で言っても、端末自体にパスコードロックをかけるとかOSはバージョンアップしとくとかの基本的なところや、アプリから情報流出しないようにするためのシステム的なところまで様々です。
そんなわけで、アプリを作りたいんだけどセキュリティ対策って何をしたりいの?を整理してみました。

セキュリティ対策の実施内容

アプリでできるセキュリティ対策としては、こんなことがあげられます。

ユーザの不注意による問題への対策

利用者が気をつけることで問題を未然に防ぐことができるものもあります。
アプリ側でどんなセキュリティ対策を施していても、端末を盗まれてしまったら元も子もありません。
パスワードを複雑なものにするなど、基本的なことがとても大事だったりします。

不正アクセスやウィルスなどへの対策

悪意のあるプログラムなどからアプリを守るために、アプリのシステム内に組み込むセキュリティ対策です。
防壁となる仕組みを複数導入しておくことで、万が一突破されても被害を最小限に留めることができます。

実際に導入しているセキュリティ対策

基本的には、以下に対してそれぞれ対策を入れる、になります。

・不注意などユーザの行動に起因する問題を防ぐ
・悪意あるプログラムからの攻撃を防ぐ
・犯罪者からの攻撃を防ぐ

具体的には何をするの?というと、アプリでできるセキュリティ対策としてこんなことを行います。

・アプリ起動時にロック解除用のパスワード入力を求める
 →他人が勝手にアプリを開けなくします。

・ログインセッションは一定期間で自動的に切る
 →ログアウトし忘れに起因する流出を防ぎます。

・アカウント登録時に使用した端末以外からアクセスがあった場合、メールで通知する
 →不正ログイン対策として、心当たりのないアクセスが行われた場合にユーザがそれを察知することができます。

・データ暗号化
 →Android端末のSDカードにデータを保存した際、他のアプリやウィルスから読み取られ無いようにします。

・不要な権限(通話しないのに通話機能をONにするなど)を付与しない
 →ウィルスや悪意のあるアプリに踏み台として使われにくくします。

・SSL/TLSでの暗号化通信
 →通信時に内容を他者に読み取られないようにします。

・旧バージョンのOSには対応しない
 →そもそも脆弱性に対応しきれていない端末/OSにはインストールさせないのが一番です。

・ソースコードの難読化
 →アプリのプログラムを解読(リバースエンジニアリング)されにくくします。

さらに、Webサーバにあるデータベースへアクセスしたり、Web管理画面でコンテンツを更新したりできるようにするなどの仕組みが入ると、Web側のセキュリティ要件も必要になります。

いきなりそんなこと言われてもセキュリティの仕組みなんてわかんねーよ、という意見が出そうですが…
とは言え上の例にあげた対策などの実施検討は、開発会社に丸投げするのではなくきちんと社内で検討いただきたいです。
何に対してどう対策されていて、何が脅威となるのか。

ちなみに、IPAさんから「中小企業の情報セキュリティ対策ガイドライン」が公開されました。
経営者や情報管理部門のかた向けに書かれたものになりますが、アプリの導入を検討されている担当者さまもこれに該当しますのでぜひこーいうドキュメントに目を通していただきたいです。

BACK

お問合せ

イーディーエーに興味をお持ちいただいて
ありがとうございます!
スマホアプリに関するご相談、
お見積りや弊社へのご質問など、
お気軽にお問い合わせください。
担当者より折り返しご連絡させていただきます。

    お名前必須
    会社名
    メールアドレス必須
    電話番号必須
    お問合わせ種別必須
    お問合わせ内容必須

    アンケートにご協力ください。
    弊社サイトへはどのようにしてアクセスされましたか?

    個人情報のお取扱いに関する同意事項

    1.事業者の氏名又は名称

    株式会社イーディーエー

    2.個人情報保護管理者の氏名又は職名、所属及び連絡先

    個人情報保護管理者 木下 晴晶
    Mail:[email protected]

    3.取得した個人情報の利用目的的

    当フォームで取得した個人情報は、お問い合わせに関する回答のために利用し、目的外利用はいたしません。

    4.弊社が取得した個人情報の第三者への委託、提供について

    弊社は、ご本人に関する情報をご本人の同意なしに第三者に委託または提供することはありません。

    5.個人情報保護のための安全管理

    弊社は、ご本人の個人情報を保護するための規程類を定め、従業者全員に周知・徹底と啓発・教育を図るとともに、その遵守状況の監査を定期的に実施いたします。
    また、ご本人の個人情報を保護するために必要な安全管理措置の維持・向上に努めてまいります。

    6.個人情報の開示・訂正・利用停止等の手続

    ご本人が、弊社が保有するご自身の個人情報の、利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を求める場合には、下記に連絡を頂くことで、対応致します。

    株式会社イーディーエー 個人情報お問合せ窓口
    〒106-0032 東京都港区六本木7丁目14番23 ラウンドクロス六本木4F
    TEL:03-5422-7524 FAX:03-5422-7534
    Mail:[email protected]

    7.ご提供いただく情報の任意性

    個人情報のご提供は任意ですが、同意を頂けない場合には、第3項にあります利用目的が達成できない事をご了承いただくこととなります。

    8.弊社Webサイトの運営について

    弊社サイトでは、ご本人が弊社Webサイトを再度訪問されたときなどに、より便利に閲覧して頂けるよう「クッキー(Cookie)」という技術を使用することがあります。これは、ご本人のコンピュータが弊社Webサイトのどのページに訪れたかを記録しますが、ご本人が弊社Webサイトにおいてご自身の個人情報を入力されない限りご本人ご自身を特定、識別することはできません。
    クッキーの使用を希望されない場合は、ご本人のブラウザの設定を変更することにより、クッキーの使用を拒否することができます。その場合、一部または全部のサービスがご利用できなくなることがあります。