【連載】

Googleの中の人が教えるモバイルセキュリティ

2 Androidが安全な理由は"オープン"

2/4

スマートフォンがあまねく浸透しつつある昨今、ビジネスとプライベートの垣根なく、モバイルデバイスが利用されています。そうした環境下で問題となるのが「セキュリティ」ですが、自分の手元にあるスマートフォンであっても、そこにどのようなセキュリティ対策が施されているのかを知らない方も多いでしょう。

そこで本連載では、米Googleに在籍するエンジニアの方に、AndroidをはじめとするGoogle製品・サービスのモバイル環境下でのセキュリティ対策が、どのように行われているのかについて解説いただきます。スマートフォンで安心・安全にサービスを利用するにはどのようにすればいいのか、この連載を通して学んでください。

オープンソースで、誰もがコードを参照できる

前回は、AndroidとGoogle Playが「どのように悪意あるソフトウェアから利用者を守っているか」について解説しました。

前回も申し上げたとおり、Androidは世界で14億人以上が利用するオープンエコシステムです。そのエコシステムのメンバーであるパートナー企業や開発者、ユーザー、そして研究者と協力しながら、脆弱性や問題を特定することに、大きな意味があると考えています。広いコミュニティと共にセキュリティを改善し、Androidそのものをよりセキュアな存在にできることは、開かれたエコシステムならではの強みです。

このエコシステムで第一に重要となる要素が、「Androidフレームワークの透明性を確保すること」です。オープンソースですから、Androidの最新のプログラミング・ソースコードはcode.android.comで公開しています。つまり、誰でもこのコードを使って独自の端末開発が行えますし、コードをレビューしてセキュリティリスクの可能性を指摘したり、改善や変更を提案したりといったことができるわけです。

セキュリティ報奨プログラムの2015年の結果インフォグラフィクス。2010年以降、Android以外を含めたGoogle製品の脆弱性発見者に対し、累計で600万ドルを支払ってきたGoogle

また、私たちは"Androidの研究"を強く推奨しています。公開しているコードの中で問題を発見した方には、これまでもさまざまな形で報奨してきました。Googleでは2010年に、重要な問題を見つけた研究者へ報奨金を支払う「セキュリティ報奨プログラム」を開始しました。2014年の数字ではありますが、Chromeやその他のGoogle製品における脆弱性を発見したセキュリティ研究者へ、計150万ドル以上を謝礼としてお支払いしています。

このプログラムの成功をもとに、2014年には対象範囲をAndroidにも拡大し、「パッチ リワード」を開始しました。これは、いくつかのオープンソース・プロジェクトにおいて能動的に行われたセキュリティ改善を報奨する実験的なプログラムです。

これは、一定の条件を満たした改善案に対して報奨金を支払うというもので、コード1行分ほどの改善に対する500ドルから、複雑でインパクトが大きく「ほぼ間違いなく重大な脆弱性を防ぐ」であろう改善に対する1万ドルまで、報奨金を設定しています。

そして2015年には、Androidのセキュリティ強化のために時間と労力を費やしてくださるセキュリティ研究者の貢献を報奨するために、「Androidセキュリティ報奨プログラム」を開始しました。このプログラムでは、Androidセキュリティチームに報告される脆弱性を公式に認め、その報告者に金銭的な報酬を支払います。

バグの重大さによって報酬のレベルは変わり、再現用コードやテストケース、パッチなどが含まれる質の高いレポートであればあるほど、金額は高くなります。このプログラムは確実に成果を収めつつあり、2015年下半期だけでも、総額20万ドル以上の報奨金を研究者に支払いました。なお、一度に支払われた最大額は3万7500ドルとなっています。そして2015年全体では、これらのすべてのプログラムを通して200万ドル以上をお支払いしました。

また、われわれ独自のプログラムだけでなく、「Mobile pwn2own」や「ZDI」の年次コンテストといったサードパーティ主催のコンペティションにも協賛しており、モバイルプラットフォームにおけるセキュリティの脆弱性を見つける研究者を支援しています。

それ以外にも、ハードウェア・パートナーと連携することでAndroidデバイスへ最新パッチを配布するアップデートを定期的に配信しています。また、過去3年間にわたって、サムスンやLG、BlackBerryなどのAndroidデバイスメーカーと協力し、利用者を守るためのセキュリティ・アップデートを毎月数百万台規模で行っています。

GoogleでもNexusシリーズというスマートフォンを提供していますが、このデバイスは常に最新のプラットフォームとセキュリティのアップデートを受け取ることができます。さらに昨年より、Nexusは通常のOSアップデートに加えて、定期的にセキュリティに特化したOTAアップデートを配信する月次更新の対象に加えました。それらの改善点は、Androidオープンソース・プロジェクトによって公開されています。

GoogleのNexusシリーズ

Androidチームでは常にセキュリティを最優先に考えており、広い研究コミュニティの方々がセキュリティ問題を見つける手助けをしてくださることに大変感謝しています。Androidをより安全にするために多くの方が取り組んでいることは、われわれだけでなく、14億人の利用者の皆さんにとって非常に有益なことだと考えています。

著者プロフィール

エイドリアン・ルードウィグ
Google Android セキュリティ リードエンジニア

Androidプラットフォームや、Android向けGoogleアプリケーション・サービスにおけるセキュリティ責任者を務める。
Google入社前は、JoyentやAdobe、Macromedia、@stake、米国防総省で技術部門の責任者を歴任していた。
ウィリアム大学で数学の学士号を、カリフォルニア大学バークレー校で経営学修士号を取得している。
<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。

2/4

インデックス

連載目次
第4回 ブラウザでスマホが簡単に見つかる方法
第3回 セキュリティプリンセスが伝えたいChromeの最新動向
第2回 Androidが安全な理由は"オープン"
第1回 昔で止まっていませんか? Androidの安全性の知識


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報