スマートフォンがあまねく浸透しつつある昨今、ビジネスとプライベートの垣根なく、モバイルデバイスが利用されています。そうした環境下で問題となるのが「セキュリティ」ですが、自分の手元にあるスマートフォンであっても、そこにどのようなセキュリティ対策が施されているのかを知らない方も多いでしょう。

そこで本連載では、米Googleに在籍するエンジニアの方に、AndroidをはじめとするGoogle製品・サービスのモバイル環境下でのセキュリティ対策が、どのように行われているのかについて解説いただきます。スマートフォンで安心・安全にサービスを利用するにはどのようにすればいいのか、この連載を通して学んでください。

オープンソースで、誰もがコードを参照できる

前回は、AndroidとGoogle Playが「どのように悪意あるソフトウェアから利用者を守っているか」について解説しました。

前回も申し上げたとおり、Androidは世界で14億人以上が利用するオープンエコシステムです。そのエコシステムのメンバーであるパートナー企業や開発者、ユーザー、そして研究者と協力しながら、脆弱性や問題を特定することに、大きな意味があると考えています。広いコミュニティと共にセキュリティを改善し、Androidそのものをよりセキュアな存在にできることは、開かれたエコシステムならではの強みです。

このエコシステムで第一に重要となる要素が、「Androidフレームワークの透明性を確保すること」です。オープンソースですから、Androidの最新のプログラミング・ソースコードはcode.android.comで公開しています。つまり、誰でもこのコードを使って独自の端末開発が行えますし、コードをレビューしてセキュリティリスクの可能性を指摘したり、改善や変更を提案したりといったことができるわけです。

セキュリティ報奨プログラムの2015年の結果インフォグラフィクス。2010年以降、Android以外を含めたGoogle製品の脆弱性発見者に対し、累計で600万ドルを支払ってきたGoogle

また、私たちは"Androidの研究"を強く推奨しています。公開しているコードの中で問題を発見した方には、これまでもさまざまな形で報奨してきました。Googleでは2010年に、重要な問題を見つけた研究者へ報奨金を支払う「セキュリティ報奨プログラム」を開始しました。2014年の数字ではありますが、Chromeやその他のGoogle製品における脆弱性を発見したセキュリティ研究者へ、計150万ドル以上を謝礼としてお支払いしています。

このプログラムの成功をもとに、2014年には対象範囲をAndroidにも拡大し、「パッチ リワード」を開始しました。これは、いくつかのオープンソース・プロジェクトにおいて能動的に行われたセキュリティ改善を報奨する実験的なプログラムです。

これは、一定の条件を満たした改善案に対して報奨金を支払うというもので、コード1行分ほどの改善に対する500ドルから、複雑でインパクトが大きく「ほぼ間違いなく重大な脆弱性を防ぐ」であろう改善に対する1万ドルまで、報奨金を設定しています。

そして2015年には、Androidのセキュリティ強化のために時間と労力を費やしてくださるセキュリティ研究者の貢献を報奨するために、「Androidセキュリティ報奨プログラム」を開始しました。このプログラムでは、Androidセキュリティチームに報告される脆弱性を公式に認め、その報告者に金銭的な報酬を支払います。

バグの重大さによって報酬のレベルは変わり、再現用コードやテストケース、パッチなどが含まれる質の高いレポートであればあるほど、金額は高くなります。このプログラムは確実に成果を収めつつあり、2015年下半期だけでも、総額20万ドル以上の報奨金を研究者に支払いました。なお、一度に支払われた最大額は3万7500ドルとなっています。そして2015年全体では、これらのすべてのプログラムを通して200万ドル以上をお支払いしました。

また、われわれ独自のプログラムだけでなく、「Mobile pwn2own」や「ZDI」の年次コンテストといったサードパーティ主催のコンペティションにも協賛しており、モバイルプラットフォームにおけるセキュリティの脆弱性を見つける研究者を支援しています。

それ以外にも、ハードウェア・パートナーと連携することでAndroidデバイスへ最新パッチを配布するアップデートを定期的に配信しています。また、過去3年間にわたって、サムスンやLG、BlackBerryなどのAndroidデバイスメーカーと協力し、利用者を守るためのセキュリティ・アップデートを毎月数百万台規模で行っています。

GoogleでもNexusシリーズというスマートフォンを提供していますが、このデバイスは常に最新のプラットフォームとセキュリティのアップデートを受け取ることができます。さらに昨年より、Nexusは通常のOSアップデートに加えて、定期的にセキュリティに特化したOTAアップデートを配信する月次更新の対象に加えました。それらの改善点は、Androidオープンソース・プロジェクトによって公開されています。

GoogleのNexusシリーズ

Androidチームでは常にセキュリティを最優先に考えており、広い研究コミュニティの方々がセキュリティ問題を見つける手助けをしてくださることに大変感謝しています。Androidをより安全にするために多くの方が取り組んでいることは、われわれだけでなく、14億人の利用者の皆さんにとって非常に有益なことだと考えています。

著者プロフィール

エイドリアン・ルードウィグ
Google Android セキュリティ リードエンジニア

Androidプラットフォームや、Android向けGoogleアプリケーション・サービスにおけるセキュリティ責任者を務める。
Google入社前は、JoyentやAdobe、Macromedia、@stake、米国防総省で技術部門の責任者を歴任していた。
ウィリアム大学で数学の学士号を、カリフォルニア大学バークレー校で経営学修士号を取得している。