スマートフォンがあまねく浸透しつつある昨今、ビジネスとプライベートの垣根なく、モバイルデバイスが利用されています。そうした環境下で問題となるのが「セキュリティ」ですが、自分の手元にあるスマートフォンであっても、そこにどのようなセキュリティ対策が施されているのかを知らない方も多いでしょう。
そこで本連載では、米Googleに在籍するエンジニアの方に、Androidを始めとするGoogle製品・サービスのモバイル環境下でのセキュリティ対策が、どのように行われているのか解説していただきます。スマートフォンで安心・安全にサービスを利用するためにはどのようにすればいいのか、この連載を通して学んでみてください。
ブラウザのセキュリティ対策とは?
第1回、第2回と、Androidの仕組みそのものにおけるセキュリティ対策について解説してきました。これに加えて、安心してスマートフォンを利用するには、Web閲覧(ブラウジング)アプリが最新のセキュリティ機能を備えていることも重要です。
GoogleのWebブラウザ「Chrome」の開発において、セキュリティは重要な基本方針の1つです。連載第3回は、Chrome開発チームが長期的に取り組んでいるセキュリティ対策とモバイルに特化した最新のセーフブラウジング機能について解説します。
Chromeはこれまでも、ユーザーを守るためにさまざまなコア技術を長年にわたり実装してきました。
代表的なものはAndroidでも採用している「サンドボックス技術」でしょう。これは、1つのブラウザのタブで起きた問題がほかのタブへ影響することを防ぎます。ブラウジング中にマルウェアや危険なサイトに遭遇してしまっても、端末自体に影響を及ぼすことを回避するものです。タブの中で起こっていることをボックス(箱)の中に封じ込める考え方で、ブラウザを閉じるだけで危険を回避できるのです。
また、「自動更新機能」もChromeのセキュリティ機能において重要な役割を担います。「ソフトウェアの更新」と聞くと「プログラムの新機能を使うためのもの」というイメージが強いかもしれませんが、これらの多くは開発チームによるバグ修正や重要なセキュリティパッチの配布を行うためのアップデートです。更新は自動的に行われるため、常に最新で安全な状態でブラウザを利用することができます。
そして、前回も触れた通り、報奨プログラムを通じてセキュリティの研究者コミュニティと連携することで、バグの修正や新しいセキュリティ機能の開発を進めています。最近では報奨金の最大額を5万ドルから10万ドルへと引き上げています。
モバイル向けの新機能
デスクトップ版Chromeでは、ユーザーが安心してWebを楽しめるように「セーフブラウジング機能」を長年提供してきました。これは、ユーザーがフィッシングやマルウェアなどを含む有害なサイトを開く前に、損害を与える可能性があると伝える赤い警告画面を表示するものです。
そして昨年末にはAndroid版のChromeにセーフブラウジング機能を追加し、モバイルユーザーの安全も、全面的な警告によって守られるようになりました。セーフブラウジングの技術をモバイルに応用するにあたっては、さまざまな工夫を施す必要がありました。
例えば、フィッシングサイトからユーザーを効果的に守るためには、有害サイトの一覧を定期的に更新しなくてはなりませんが、モバイルデバイスの場合、この方法ではデータ通信の速度やバッテリーに悪影響を及ぼしてしまいます。
そこで、私たちはいくつかの調整を行いました。具体的には、危険度の高いサイトに関する情報を優先的に送信することで、通信速度が低速な場所にいるユーザーでも、通信容量がかさまず、効率的に情報のアップデートを受け取れるようにしました。また、サイトの攻撃が特定の国や地域に特化している場合は、そこにいるユーザーのみに情報を提供します。これによって、関係のない地域のユーザーの端末における無駄なデータ通信の発生を防ぐことができます。
こうした調整は、Googleのデータ圧縮に携わるチームとAndroidセキュリティチームが密に連携することで実現しており、データのやり取りと、端末に読み込ませる容量を必要最低限にとどめることを目指しています。
Android版Chromeの最新版がインストールされている端末では、すでにセーフブラウジング機能が適用されています。安心してブラウジングをお楽しみください。
著者プロフィールパリサ タブリズ
Googleセキュリティチームに「ハッカー」として入社して以降、8年以上情報セキュリティに携わる。エンジニアとしてはGoogleのWebアプリケーション脆弱性をいくつも修正し、社内のほかの技術者指導も行う。現在はChromeのセキュリティ開発チームに所属し、ユーザーがより安全にブラウジングできるよう開発を行っている。 2012年には、Forbes誌による「30歳未満の30人」のテクノロジー部門に選出される。2014年には休暇を利用して、ホワイトハウスの米政府デジタルサービス(U.S. Digital Service)にて政府セキュリティシステムの強化に従事。
Google セキュリティプリンセス